запусти на машине с нортоном любой бинарник в который зашили пэйлоад при помощи shellter или veil evasion
Товарищ лейтенант, я не настоящий сварщик в виросописании. Вот эти вот штуки, про которые ты написал, используются для того чтобы вирус замаскировался под "хорошую" программу?
Alexander
Operator
тип того
Operator
я к чему это, у нортона движок дерьмо
Operator
лучше уж каспера поставить
Operator
который free
Operator
точнее в хорошую программу ты размещаешь участок не есть хорошего
Operator
вот как-то так
Alexander
лучше уж каспера поставить
Друже, у меня в конторе по госпрограмме лицензия на касперский. Я когда его ставлю, то обрекаю сотрудника страдания от тормозов.
Alexander
У кого дрвеб стоит, у тех все нормально. На свой винкомп поставил симантек. Я его вообще не замечаю.
Alexander
А касперский походу биткоины майнит на компах юзеров.
Alexander
точнее в хорошую программу ты размещаешь участок не есть хорошего
А кто из антивирусов умеет такое обнаруживать? Я ж так понимаю нужен тот самый "эвристический поведенческий анализ". По большому счету никто ничего на этом поле дельного предложить не может.
Operator
У них есть SandBlast Threat Emulation, оно могёт в облако подозрительные сэмплы засылать и проигрывать их в песочнице. На счёт домашнего использования не знаю, вроде было чёт у них. А-ля по подписке
Operator
Ну все зависит от того, на сколько ты готов заморачиваться
Operator
На самом деле есть ещё всякие carbon black
Operator
Cylance
Operator
Но это уже совсем другая история
OXOTH1K
Я вот прям нашел логопасс свой а все равно не логинится
Vesper
У кого дрвеб стоит, у тех все нормально. На свой винкомп поставил симантек. Я его вообще не замечаю.
вообще веб самый медленный, так как он работает можно сказать варворство. Он тупо заворачивает на себя все потоки и обращения к апи, а лишняя прослойка явно не на пользу. Зато он не пробиваемый в большинстве случаев. Но все же
Operator
Не, мужик
Operator
Погоди
Operator
Запусти любой сэмпл малвари на malwar
Operator
Или payload security
Operator
Там будет расписаны все вызовы
Operator
Все процессы
Operator
И так далее
Operator
Это уже сэндбоксинг
Operator
Но перед сэндбоксингом у тебя должен отработать классический сигнатурный антивирус
Operator
Там хоть куда смотри, если движок дерьмовый и/или дырявый, ничего не поможет
Operator
но про каспера я с тобой соглашусь
Operator
та еще боль
Operator
особенно для гипервизоров
Operator
у них же еще свой SOC есть
Operator
но он чет тормозной
Operator
пздц
Operator
лучше уже GiB SOC
Operator
там CERT и все вот это вот
Operator
крутые мужики там короч
OXOTH1K
И какой антивирус тогда?
Operator
для дома?
Operator
или куда?
OXOTH1K
Да. Для жены
Operator
нууууу, серебрянной пули нет)) но если это win - я бы поставил каспер и не парился
OXOTH1K
Ну я так и сделал
OXOTH1K
Но вот теперь задумался
Operator
ну для дома ваше можно не парится
Operator
тебе же не надо всякие play book по реагинования на инциденты
Operator
и прочее
Operator
если чет идет не так
Operator
вайп нах
Operator
и все чистенько
Operator
но это не призыв отказа от антивируса)
Operator
есть еще прикольная штука Deep Freeze
Operator
ее очень любят реверс инженеры и аналитики малвари
Operator
но это другая степь
OXOTH1K
Это который систему в песочнице запускает?
Operator
не совсем
Operator
он “замораживает” текущее состояние системы
Operator
после ребута будет все так, как было перед заморозкой
Operator
лично я ни разу не слышал, чтобы малварь выползла из deep freeze
OXOTH1K
Ну да. Что такое слышал
Operator
особая каста “наркоманов”, дома делает, собирает свою песочницу)
Operator
cuckoo + esxi/xen/virtualbox + limacharlie + cuckoo MTA
Operator
и мониторят свое пространство на малварь)
Operator
еще и сурикату со снортом на span сажают
Operator
чтобы смотреть трафик
Operator
но без SSL MITM в L2 это все херня
Operator
ну или на SPAN надо отдавать уже то, что ты раскрыл
Operator
чет меня понесло)
OXOTH1K
Немного да)
Alexander
"Папа, ты сейчас с кем разговаривал?"
Operator
Alexander
Для дома я бы посоветовал дрвеб секьюр спэйс. У него есть встроенный бэкапер в защищенную папку. Это супротив вирусов шифровальщиков
Operator
у винды же свои штатные средства есть для shadow copy?
Alexander
Есть, да. Но он бэкапит как бог на душу положит. Т.е. Нельзя указать что именно бэкапить и как часто. И если юзер админ(а дома он скорее всего админ), то вирус шифровальшик очищает хранилище shadow copy
Operator
эт да
Alexander
Кстати вирусы шифровальщики теперь запрашивают по 30-40К руб. за расшифровку
Alexander
Раньше было по 5-7, что еще было разумно.
Operator
по этому OS X прекрасен с его Time Machine
Operator
заливаешься на хард или еще куда