Antispam: Vy

Diskuze

Pravidla diskuze    |    Zobrazit lame příspěvky
Tato sekce je moderovaná, viz. pravidla diskuze.
 
 
 BBCode

DeAtHaLiVe | E-mail29.8.2016 13:29 | #
Myslím, že ve firmách se spíš už používají poněkud dražší řešení, než obyčejný antivir, od komplexních softwarových řešení až po HW firewally a takový ty věci, co si běžnej smrtelník nemůže dovolit, leda by prodal barák.

Jinak "analýzou" jsem zjistil třeba toto: [link] :D
Vrtule | E-mail | Website | PGP | ICQ 33297004029.8.2016 12:48 | #
> Heuristika není zrovna náhoda

Snaha je, aby tomu tak nebylo. Ale nezaručuje v podstatě nic.

Pokud bych byl admin někde ve firmě a měl na starosti spoustu strojů, tak za zvýšení počet false-positives moc rád nebudu. Ale pro domácí uživatele to problém není.

Upravit, aby si AV neškrtl (třeba "zneutralizovat" tu heuristiku) by určitě šlo. Co se týče obejití HIPSu, tam to může být docela oříšek, pokud se jedná o dobrý HIPS.

CO jste zjistil analýzou kódu ohledně rozšíření toho skriptu?

----------
2 + 2 = 5, for extremely large values of 2
DeAtHaLiVe | E-mail28.8.2016 23:18 | #
Heuristika není zrovna náhoda, a co se týká false positive, pořád lepší, než když nechá spustit (nebo stáhnout, zkopírovat, etc) malware, je už pak docela problém, ten skriptík by se dal jednoduše upravit, aby po spuštění si už žádnej antivirus ani neškrtl. A taky bych neřekl, že zrovna nebyl dost rozšířenej, to se dá zjistit analýzou kódu :).
oO. | 82.113.63.*27.8.2016 16:28 | #
@DeAtHaLiVe

presne jak psal Vrtule - heuristika u tech dvou, nicmene zbytek antiviru (testovano s avast, drweb a sophos) zacne houkat pri spusteni.

problem s heuristikou jsou false-positive hlaseni u "cistych" scriptu...
Vrtule | E-mail | Website | PGP | ICQ 33297004027.8.2016 12:19 | #
DeAtHaLiVe:

Zřejmě se tento skriptík dostatečně nerozšířil na to, aby se jim dostal na radar. Minimálně u McAfee to vypadá na detekci na základě heuristiky, což lze tak trochu interpretovat jako "náhodu". Navíc, pokud je součástí instalace antiviru i slušný HIPS, informuje uživatele při pokusu toho skriptu zapsat se do registru (a také do složky Windows). Možná by zachytil i spojení se serverem, ale tam už více záleží na realizaci (kterou neznám)... je možné že by upozorňující hláška byla dost kryptická.

----------
2 + 2 = 5, for extremely large values of 2
DeAtHaLiVe | E-mail26.8.2016 22:16 | #
No ty vole, antiviry si ze mě dělaj kozy. Tohle existuje už přes nějakejch 10 let: [link]

Mrkněte sem: [link]

Chytil se akorát Kaspersky a McAfee, zbytek by to nechal jet na kompu...
DeAtHaLiVe | E-mail24.8.2016 11:13 | #
Úroveň anonymity je taky odvyslá od toho, co chceš dělat. Mít absolutní nedohledatelnost je zbytečný, pokud akorát chodíš na novinovej portál nebo čteš maily.

Pokud potřebuješ hodně silnou anonymitu, kup si za pár tisíc smartphone, nastav si fakeGPS a používej to jenom pro tu danou aktivitu. Případně se dá třeba nainstalovat android do emulátoru ve virtuální mašině, ale tam už na tebe může čekat pár průserů.
oO. | 82.113.63.*23.8.2016 22:28 | #
@H.A.S.H

ted jsem si vsiml ze zminujes infekci - puvodni autor se ptal na to jak byt anonymni a na to jsem odpovidal.

nicmene kdyz jsi to nakousl tak odpoved na tvou, jakkoliv rejpavou otazku, je "ano" alespon u zavaznejsi urovne nakazy, v dnesni dobe je na trhu dostatek exploitu ala bios rootkity (pripadne se to necha loadovat i ze sitove infrastruktury - router atd.) kde ti nepomuze nic - kdyz das hdd pryc, das nove, naisntalujes nove OS tak se toho nezbavis, ale tj tema, ktere by zabralo samo o sobe nekolik stranek.

nicmene i z tohoto kratkeho shrnuti je jasne, ze persistentnost nakazy se da zajistit mnoha zpusoby...
oO. | 82.113.63.*23.8.2016 22:24 | #
ted mam chvilku casu tak se taky vyjadrim

mysleno to bylo ve zkratce takto: tim hwid, tedy jak uvedl .cCuMiNn. v druhem postu, vycist behem prace na live distribuci id jakehokoliv hardware neni pro utocnika nic neresitelneho, zameril jsem se konkretne na HDD ktery (neberu v potaz vyrovnavaci pamet atd.) obsahuje vetsinu "osobnich" dat a je lehce vyjmutelny - paranoiu na tema jednorazove netbooky sem nechci tahat

odkaz na google byl smerovan na moznost zasahu live distribuce do stavajiciho konfigu (opet je HDD ten prvni po ruce kam se bude nekdo sapat, druhe jsou network stg, pak je bios a pripadne HW fw exploity co opet zminil .cCuMiNn. ) ...

Jinymi slovy exploity na tyhle "anon" distra existujou a ver nebo ne tak fungujou... napr. neutrino ma "specialni" oblast pusobnosti zamerenou jen a pouze na tento "typ" OS...

proto chte nechte - vyndavej HDD kdyz bootujes jakejkoliv "anonymni" live OS

vse jasne?

oO.
.cCuMiNn. | E-mail | Website | PGP23.8.2016 21:34 | #
H.A.S.H.: Teď jsem si ještě všiml, že oO. odkazoval na "hwid", z čehož je patrné, jak to myslel. Totiž, že tě může prozradi ID disku. Dalším důvodem pro odpojení HDD (ale to už budeme paranoidní) mže být i SW ukrytý v jejich firmwaru [link] Jak jsem ale psal, to už bychom byli moc paranoidní, protože pak bychom nemohli věřit žádné HW komponentě, viz také např. [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.


« ‹  1 2 3 4 5 6 7 8 9 10   »