Hacking

Malware - Detecting

Upload Malware

Doporučujeme












Naše Bannery








Toplist




Diagnostika malwaru AV

 

Je viacero spôsobov, akými nástroje identifikujú malware bežiaci v počítači.


●   Antiviry a Anti-Spyware -- využívajú k detekovaniu Scan Test a Heruistickú Analýzu.
Pri Scan Teste bezpečnostný program preverí zdrojový kód testovaného súboru a porovná ho so svojou virovou databázou. Ak sa v nej nachádza, súbor detekuje.
Heruistická Analýza je proces, pri ktorom sa pomocou logickej analýzy vyhodnotia príkazy a samotný algoritmus programu a zistí sa, či sú príkazy alebo algoritmus stavané pre neobvyklé operácie - jednoducho povedané, či sú vyhodnotené ako škodlivé. Vyhodnocovanie z tochto dôvodu trvá dlhšie ako pri Scan Teste. Dôvod, prečo sa používa heruistická analýza je ten, že polymorfné infectory - file infectory vykonávajú takzvané enkryptovanie svojho kódu, aby ho nemohli antiviry porovnať s virovou databázou. Narozdiel od klasických virov, ktoré sú pevne napísané, polymorfný file infector svojmu zdrojovému kódu pred vložením do iného súboru pozmení štruktualizáciu algoritmu (enkryptácia) vložením vygenerovaných hodnôt, pričom sú jednotlivé inštrukcie vykonávané zdlhavými cestami nových hodnôt, no základ a vlastnosti zostávajú. Často môže dochádzať k deštrukcií napadnutého súboru. Pri veľmi polymorfných virov (napr. Virut) je však aj heruistická analýza neúčinná.
Ako prvý polymorfný spôsob infikovania vytvoril tvorca viru Dark Avenger a nazval ho MTE (Mutation Engine),na základe ktorého vytvoril niekoľko generátorov polymorfných virov, ktoré uverejnil pre širokú laickú verejnosť.



Jednoduchý pohľad na algoritmus pozostavajúci z dlhavých a zbytočných inštrukcií programu zobrazujúci čas:

1.) Pred modifikáciou:

@echo off
echo %time%
pause


2.) Po modifikácií:

@echo off
set vcbdbvcbdbddvcxvcxfb=set
%vcbdbvcbdbddvcxvcxfb% "s=g" && %vcbdbvcbdbddvcxvcxfb% dxcvvc=pause
%vcbdbvcbdbddvcxvcxfb% xxsc=o
%vcbdbvcbdbddvcxvcxfb% asvc=t
%vcbdbvcbdbddvcxvcxfb% cdvdgrvdf=ot
%vcbdbvcbdbddvcxvcxfb% a=f
%vcbdbvcbdbddvcxvcxfb% xcd=o
%vcbdbvcbdbddvcxvcxfb% fhjfdjfd=r
%s%%xxsc%%asvc%%xxsc% axysdgvfdc
:cdvdgrvdf
%vcbdbvcbdbddvcxvcxfb% ggreg=d
%vcbdbvcbdbddvcxvcxfb% GDFWVXFW=l
%a%%xcd%%fhjfdjfd% %%%dvbvsd% %cxcnjd%%fxaGVCC% (
%time%
) d%xxsc% (
e%dvbvsd%h%xxsc%.%%%dvbvsd%>>%cddcjewjjdfgjdfasdaaksdjriej%%xxsc%%cdvdgrvdf%
%a%%xcd%%fhjfdjfd% /%a% "%asvc%%xxsc%ke%fxaGVCC%s=*" %%g %cxcnjd%%fxaGVCC% (
%cddcjewjjdfgjdfasdaaksdjriej%%xxsc%%cdvdgrvdf%) d%xxsc% (
e%dvbvsd%h%xxsc% %%g
)
)
%ggreg%e%GDFWVXFW% %cddcjewjjdfgjdfasdaaksdjriej%%xxsc%%cdvdgrvdf%
@%dxcvvc%
:axysdgvfdc
%vcbdbvcbdbddvcxvcxfb% dvbvsd=c
%vcbdbvcbdbddvcxvcxfb% fxaGVCC=n
%vcbdbvcbdbddvcxvcxfb% cxcnjd=i
%vcbdbvcbdbddvcxvcxfb% cddcjewjjdfgjdfasdaaksdjriej=r~
%s%%xxsc%%asvc%%xxsc% cdvdgrvdf


AV a Anti-Spy sú riešené na "užívateľskej - laickej" úrovni, kedy s virmi narábajú čo možno najšetrnejšie vôči systému, aby ho pri ich mazaní nezničili, preto pri mazaní tvrdého malware alebo rootkitu neuspejú. Síce počítač resetujú, ale viacmenej, pokiaľ je vir zavedený skôr ako samotný AV (napríklad .dll a podobne), tak ho neodmažú. A prakticky, AV sa zameriavajú len na infikované súbory, modifikované registry neopravujú.

Recenzie, postrehy, návody na Antiviry a iného bezpeč. softwaru nájdete tu: Návody a recenzie

 



●   Log Utility -- sú nástroje, ktoré obsahujú databázu známeho a nového malware, ktoré individuálnym a cieleným
spôsobom ničia. Infikované súbory identifikujú podľa názvov, umiestnenia, veľkosti a podobne. Tie následne mažú individuálnym spôsobom ako si jednotlivé varianty virov vyžadujú tak, aby nedošlo ku poškodeniu systému. Zároveň umožňujú delet, edit, opravu, reset prístupových práv kľúčov, a podobne,vetiev registry poškodených či upravených virmi, čo Antiviry a AntiSpy nerobia. Urobia výpis súborov, zložiek - "rozpytvajú" celý systém a dokumentáciu uložia v podobe logu - textový dokument (niektoré utility vytvárajú čisto len systémovú dokumentáciu logov bez mazania virov). Na základe výpisoch z týchto logov je možné diagnostikovať vir, tak ako aj typy virov, či poriadne skrytý rootkit. Väčšina utilit vrátane antirootkitoch zaznamenáva všetko do logov. Existujú špecializované fóra zamerané na systémovú bezpečnosť, na ktorých rádci lúštia tieto logy a volia ďaľšie (individuálne) postupy pre opravu, či odmazanie viru v závislosti na tom, čo v logu nájdu, na diaľku.
Každá nákaza je individuálna a vyžaduje individuálny prístup, preto neodborné použitie týchto utilit môže zapríčiniť poškodenie OS, preto sa používajú len na pokyny skúsených rádcov.


U nás, respektíve v Česko-Slovensku existuje len jedno odborne zamerané fórum s dlhoročnou praxou na počítačovú
bezpečnosť (na ktorom som pôsobil a aj pôsobím ako rádca), a to : 

http://www.viry.cz/forum/index.php


Zoznam kvalifikovaných fór IT & IT security nájdete na:

ASAP -- Alliance of Security Analysis Professionals



 
Joomla ACL by AceACL