Vrtule |  |  |  |  332970040 | 29.8.2016 12:48 | # |
| > Heuristika není zrovna náhoda
Snaha je, aby tomu tak nebylo. Ale nezaručuje v podstatě nic.
Pokud bych byl admin někde ve firmě a měl na starosti spoustu strojů, tak za zvýšení počet false-positives moc rád nebudu. Ale pro domácí uživatele to problém není.
Upravit, aby si AV neškrtl (třeba "zneutralizovat" tu heuristiku) by určitě šlo. Co se týče obejití HIPSu, tam to může být docela oříšek, pokud se jedná o dobrý HIPS.
CO jste zjistil analýzou kódu ohledně rozšíření toho skriptu?
----------
2 + 2 = 5, for extremely large values of 2 |
|
| | Heuristika není zrovna náhoda, a co se týká false positive, pořád lepší, než když nechá spustit (nebo stáhnout, zkopírovat, etc) malware, je už pak docela problém, ten skriptík by se dal jednoduše upravit, aby po spuštění si už žádnej antivirus ani neškrtl. A taky bych neřekl, že zrovna nebyl dost rozšířenej, to se dá zjistit analýzou kódu :). |
|
| oO. | 82.113.63.* | 27.8.2016 16:28 | # |
| @DeAtHaLiVe
presne jak psal Vrtule - heuristika u tech dvou, nicmene zbytek antiviru (testovano s avast, drweb a sophos) zacne houkat pri spusteni.
problem s heuristikou jsou false-positive hlaseni u "cistych" scriptu... |
|
| Vrtule | | | | 332970040 | 27.8.2016 12:19 | # |
| DeAtHaLiVe:
Zřejmě se tento skriptík dostatečně nerozšířil na to, aby se jim dostal na radar. Minimálně u McAfee to vypadá na detekci na základě heuristiky, což lze tak trochu interpretovat jako "náhodu". Navíc, pokud je součástí instalace antiviru i slušný HIPS, informuje uživatele při pokusu toho skriptu zapsat se do registru (a také do složky Windows). Možná by zachytil i spojení se serverem, ale tam už více záleží na realizaci (kterou neznám)... je možné že by upozorňující hláška byla dost kryptická.
----------
2 + 2 = 5, for extremely large values of 2 |
|
| No ty vole, antiviry si ze mě dělaj kozy. Tohle existuje už přes nějakejch 10 let: [link]
Mrkněte sem: [link]
Chytil se akorát Kaspersky a McAfee, zbytek by to nechal jet na kompu... |
|
| Úroveň anonymity je taky odvyslá od toho, co chceš dělat. Mít absolutní nedohledatelnost je zbytečný, pokud akorát chodíš na novinovej portál nebo čteš maily.
Pokud potřebuješ hodně silnou anonymitu, kup si za pár tisíc smartphone, nastav si fakeGPS a používej to jenom pro tu danou aktivitu. Případně se dá třeba nainstalovat android do emulátoru ve virtuální mašině, ale tam už na tebe může čekat pár průserů. |
|
| oO. | 82.113.63.* | 23.8.2016 22:28 | # |
| @H.A.S.H
ted jsem si vsiml ze zminujes infekci - puvodni autor se ptal na to jak byt anonymni a na to jsem odpovidal.
nicmene kdyz jsi to nakousl tak odpoved na tvou, jakkoliv rejpavou otazku, je "ano" alespon u zavaznejsi urovne nakazy, v dnesni dobe je na trhu dostatek exploitu ala bios rootkity (pripadne se to necha loadovat i ze sitove infrastruktury - router atd.) kde ti nepomuze nic - kdyz das hdd pryc, das nove, naisntalujes nove OS tak se toho nezbavis, ale tj tema, ktere by zabralo samo o sobe nekolik stranek.
nicmene i z tohoto kratkeho shrnuti je jasne, ze persistentnost nakazy se da zajistit mnoha zpusoby... |
|
| oO. | 82.113.63.* | 23.8.2016 22:24 | # |
| ted mam chvilku casu tak se taky vyjadrim
mysleno to bylo ve zkratce takto: tim hwid, tedy jak uvedl .cCuMiNn. v druhem postu, vycist behem prace na live distribuci id jakehokoliv hardware neni pro utocnika nic neresitelneho, zameril jsem se konkretne na HDD ktery (neberu v potaz vyrovnavaci pamet atd.) obsahuje vetsinu "osobnich" dat a je lehce vyjmutelny - paranoiu na tema jednorazove netbooky sem nechci tahat
odkaz na google byl smerovan na moznost zasahu live distribuce do stavajiciho konfigu (opet je HDD ten prvni po ruce kam se bude nekdo sapat, druhe jsou network stg, pak je bios a pripadne HW fw exploity co opet zminil .cCuMiNn. ) ...
Jinymi slovy exploity na tyhle "anon" distra existujou a ver nebo ne tak fungujou... napr. neutrino ma "specialni" oblast pusobnosti zamerenou jen a pouze na tento "typ" OS...
proto chte nechte - vyndavej HDD kdyz bootujes jakejkoliv "anonymni" live OS
vse jasne?
oO. |
|
| H.A.S.H.: Teď jsem si ještě všiml, že oO. odkazoval na "hwid", z čehož je patrné, jak to myslel. Totiž, že tě může prozradi ID disku. Dalším důvodem pro odpojení HDD (ale to už budeme paranoidní) mže být i SW ukrytý v jejich firmwaru [link] Jak jsem ale psal, to už bychom byli moc paranoidní, protože pak bychom nemohli věřit žádné HW komponentě, viz také např. [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. |
|
| H.A.S.H.: Nevím, jak přesně to oO. myslel, každopádně odpojit HDD při bootování live CD lze rozhodně doporučit. Ne z toho důvodu, že ti systém na HDD bude zasahovat do tvé činnosti (například do komunikace), ale z naprosto opačného důvodu. Pokud nemáš HDD zašifrován, tak ti z něj ta live distribuce může číst libovolná data a případně je i měnit (včetně systémových souborů na něm uloženého OS). Pokud live distribuci nemůžeš plně důvěřovat, tak rozhodně HDD odpojit.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. |
|
