следующая тема »

[korsar]

Любой грамотно написанный новый вирус в процентах 80 никаким антивирусом не определится. Даже при включенных "эвристическх анализаторах", избыточных сканироваиях и т.п.  В некторых случаях его можно обнаружить при начале работы по контролю активности приложений, но эффективность этого будет зависить от грамотной настройки контролирующего ПО (как и в сетевых экранах)
А общей рекомендации как ловить "неуловимые вирусы не было и быть не может. Например, я знаю как обойти проверку AVP заархивированых файлов, но проверка McAffre
покажет заражение (для известного виря разумеется) - у нее принцип определения архива иной и т.п. Стандартное определения вируса производится по анализу сигнатур (в принципе даже для определения полиморфных вирусов), а все остальные прибамбасы - для проф-в ,четко представляющих что будет стоять за фразой типа "файл ХХХХ возможно инфицирован вирусом YYY"
Не хочу обижать экспертов, но лично я видел очень редко специалиста хорошо представляющего себе как может отработать вирус (да это не только экспертов касается), чтобы это четко понимать надо самому с отладчиком постояно работать,  представлять как работают современые технологии, причем на самом низком уровне - железа, следить за новостями в "хакерских" кругах и т.п.
"Стоимость" такого спеца у нас в регионе не менее 1,5 -2 тысяч $. Например, служа в МВД я не мог долго удерживать выросшего до этой квалификации спеца, сейчас работая в "финансово-помышленной " организации могу, да и то их очень ограниченное количество - чтобы достичь этого уровня надо быть "фанатом".
Что касается "чистоты" машины эксперта, то я считаю что как минимум необходимыми (но не достаточными) условиями этого должны быть
1. наличие 3-4 известных антивирусов с регулярным обновлением версий и баз
2. наличие  проверки целостности системы и применение контроля изменения файлов ( в этом случае также нужно быть спецом, чтобы определить какие файлы могут меняться и при каких случаях (реестр ,например, в Win , системные области файловой системы и т.п.)
3. наличие СЗИ типа I-key
4. четкое выполнение организационно-технических мероприятий и инструкций (запрет выхода в ИНЕТ, подключения к ЛВС, работа с "левыми " носителями и т.д. и т.п.)
PS Все написанное исключительно ИМХО

[ezhfan]

Когда я писал о "неуловимых" вирусах, я имел в виду известные вирусы, защищенные упаковщиком с помощью метода, описанного в одном из номеров журнала "Хакер":
http://www.xakep.ru/post/13878/default.asp
А может быть, и не в одном - я их редко покупаю  

Если кратко - в статье говорится об упаковке и дальнейшей модификации, такой, чтобы антивирус не смог распаковать вирус.

Под "хитрым кодом" я подразумевал, например, код, который правильно сдампит вирусный процесс из памяти и запишет его на диск. Тут-то Spider Guard его "голенького" и схватит  
 
Написать такой код достаточно просто, большинство известных вирусов, перепакованных по "хакерной" инструкции, таким способом поймать можно.

[korsar]

Да я это понял. Но в данном случае это к AVP относится, не   все тоьлко  им пользуются ( я кстати про это и писал)
Не понял, что вы имели в виду под
....Под "хитрым кодом" я подразумевал, например, код, который правильно сдампит вирусный процесс из памяти и запишет его на диск..... - , видимо по сути это заплатка на AVP? Так пусть ее господин Касперский пишет, мы же не пишем патчи Гейтсу)))))
а "обход" Каспера упаковщиком это один из "эксплойтов", в принципе у него  и иные баги найти можно ,я думаю.
(например уже появились сообщения как отключать монитор на версии 5.157). Но это только AVP, а у меня, например Симантек)))) и т.д. И все это относится к тем ,кто известные (по крайней мере AVP) вирусы "впихнуть" вам собирается
А уж если я пишу виря, то захочу,чтобы его почти никто из антивирусников не увидел)))). Поэтому не буду использовать тела известных вирусов и т.п.

[ezhfan]

Я пользуюсь DrWeb, но не в этом суть. Если дампить процесс из памяти на диск, то, как правило, он дампится в распакованном виде. Если антивирус мониторит запись на диск, то уж запись распакованного вируса он отловит, причем неважно, чем тот был запакован.
Думаю, монитор, который сканировал бы память каждого процесса, должен сильно тормозить, так что возможность его постоянного использования я отбрасываю - речь шла о подкотовке машины для проведения экспертизы.
Новый вирус определяется мной намного проще:
1) Упакован ли файл, если упакован, то возможно вирус.
2) Если был упакован, распаковываем, смотрим дальше.
3) Какие API использует данная программа? Зачем безобидному ускорителю интернета функция CreateRemoteThread?
4) Если сомнения остаются, загружаем распакованный код в IDA и изучаем его на предмет того, что он делает.
5) Если вирус, пакуем его zip-ом с паролем и шлем это счастье через WEB-интерфейс на http://www.dialognauka.ru
Они добавляют вирус  в базу в этот же день, обновляем базу и ЛЕЧИМ

[korsar]

Понятно. Действительно, когда сканер того же DRWEb сканит память - занятие долгое, а если еще и в реальном времени. Однако все же думаю, не все новые вирусы по анализу используемых API  функций опр-ть можно. Да собствено суть не в этом - вы что, со всеми упакованными файлами такие опрерации проделываете? А зачем, если я написал новый вирус, его вообще паковать?(речь-то шла как я понимаю, об "обходе" антивирусных ПО известными вирями при их упаковке). А анализ каждого файла вряд ли провести возможно, ну конечно, когда есть подозрение на конкретный файл, его можно и отладчиком посмотреть и потом антивирусникам отправить.
Вообще пишу это не ради спора, интересно как эксперты работают в этом направлении. Мы не проводим экпертиз официальных, однако по работе бывает необходимость провести исследования некоторых машин, в основном на предмет несанкционированного ПО,   предназначенного для различных деструктивных или "шпионских" целей.

[ezhfan]

На самом деле я не эксперт в этом вопросе, но часто возникает необходимость проверить тот или иной файл.
Причем на машине антивирусов не установлено - смысла не вижу. Подозрительный файл проверяю online-проверкой, далее, если "известных вирусов не обнаружено", распаковываю его, загружаю в IDA, иду пить чай
Конечно, метод не стопроцентный, но достаточно эффективный.

P.S.: один раз чуть с ума не сошел - в системе прячется какой-то процесс, причем кривовато так прячется, по Рихтеру
Думаю - всё, вирус или троян. Гружу softice - паника! На точке входа каждого приложения срабатывает какой-то код, причем хорошо так препятствует отладке... Ну точно - тушите свет, сливайте масло - ТРОЯН! Только непонятно, какой.
И тут меня осенило - я же решил попробовать одну СКЗИ, не буду говорить, какую... Удалил - всё стало на свои места, код не грузится, NtQuerySystemInformation никто больше не перехватывает, task manager не падает...

[AlexSan]

Судебная практика по делам о компьютерных преступлениях показывает, что в ходе судебного заседания сторонам бывает очень легко исключить из списка доказательств виновности (невиновности) подсудимого Заключение эксперта, производившего компьютерно-техническую экспертизу, если выясняются следующие обстоятельства ее производства:
 
1. Экспертиза проводились на несертифицированном компьютерном оборудовании - не имеющем сертификата соответствия Требованиям и рекомендациям по безопасности информации Гостехкомиссии России. Эти сертификаты выдаются по итогам аттестации (проведения специальных исследований) объектов информатизации и (или) технических средств обработки информации Спеццентрами Гостехкомиссии России или уполномоченными ими негосударственными предприятиями и организациями.

А вот всё-таки - нужна такая сертификация или нет? Особенно применительно к гражданскому процессу?
И как насчет остальных требований - в гражданском процессе они обязательны?

[korsar]

Мне тоже это интересно. Сертификация и аттестация вещи в принципе разные. Аттестовать вы можете СВТ, помещение, АИС., по какому-то классу защищенности. Но для этого в процессе аттестации вы должны присвоить класс - это заувисит от того какая информация  обрабатывается в системе (К, С,СС ,ОВ) и мне кажется ,что техника эксперта здесь не при чем. А вот на что должен быть сертифицирована ПЭВМ эксперта(кстати только СВТ или еще ОС и прикладное ПО?) - не знаю, в сертификациях не силен. Ну например, средства шифрования должны сейчас сертифицироваться ФСБ, пожарно-охранные системы - МВД, а техника для проведения экспертиз -?, да и относится ли ПЭВМ+система к этой категории?

[AlexSan]

Что-то молчат все...
Кстати, а где эти Требования Гостехкомиссии можно посмотреть? Или это закрытая информация?

[Igor Michailov]

CyberCop, мы ждем ответа на заданые вопросы. Почему молчите?