Комментарии на сайте Волчьи IT-мысли http://sww-it.ru Компьютерная безопасность, IT, антивирусная индустрия. Mon, 28 Nov 2011 14:34:56 +0000 hourly 1 http://wordpress.org/?v= Комментарий к записи Легальные буткиты (SWW) http://sww-it.ru/2011-11-28/558/comment-page-1#comment-12917 SWW Mon, 28 Nov 2011 14:34:56 +0000 http://sww-it.ru/?p=558#comment-12917 Вяленькая защита от реверса/анализа, например? Вяленькая защита от реверса/анализа, например?

]]> Комментарий к записи Легальные буткиты (SWW) http://sww-it.ru/2011-11-28/558/comment-page-1#comment-12916 SWW Mon, 28 Nov 2011 14:32:43 +0000 http://sww-it.ru/?p=558#comment-12916 Есть и такие руткиты, согласен. По-большому счету тут скорее философский спор или спор о понятиях. АВ используют руткит-технологии и я этого не скрываю, да все итак это знают. Блокировка доступа - это не самое страшное, тот же детектор аномалий выявил невероятное количество "залоченных" объектов в различном легальном ПО (сразу же попался sptd.sys, но это всем известный факт). Есть и такие руткиты, согласен. По-большому счету тут скорее философский спор или спор о понятиях. АВ используют руткит-технологии и я этого не скрываю, да все итак это знают. Блокировка доступа — это не самое страшное, тот же детектор аномалий выявил невероятное количество «залоченных» объектов в различном легальном ПО (сразу же попался sptd.sys, но это всем известный факт).

]]> Комментарий к записи Легальные буткиты (Cr4sh) http://sww-it.ru/2011-11-28/558/comment-page-1#comment-12915 Cr4sh Mon, 28 Nov 2011 14:10:26 +0000 http://sww-it.ru/?p=558#comment-12915 Насчёт "положено так работать" -- тоже сомнительный аргумент: в чём смысл блокировать файлы, относящиеся к антивирусному продукту, при попытке их _чтения_ (открытия с GENERIC_READ)? Насчёт «положено так работать» — тоже сомнительный аргумент: в чём смысл блокировать файлы, относящиеся к антивирусному продукту, при попытке их _чтения_ (открытия с GENERIC_READ)?

]]> Комментарий к записи Легальные буткиты (Cr4sh) http://sww-it.ru/2011-11-28/558/comment-page-1#comment-12914 Cr4sh Mon, 28 Nov 2011 14:06:57 +0000 http://sww-it.ru/?p=558#comment-12914 И что? Многие руткиты, использующиеся в malware, тоже не используют сокрытие и подмену содержимого, а только блокируют доступ к защищаемым объектам. И что? Многие руткиты, использующиеся в malware, тоже не используют сокрытие и подмену содержимого, а только блокируют доступ к защищаемым объектам.

]]> Комментарий к записи Легальные буткиты (SWW) http://sww-it.ru/2011-11-28/558/comment-page-1#comment-12913 SWW Mon, 28 Nov 2011 13:57:54 +0000 http://sww-it.ru/?p=558#comment-12913 Ну, самозащите и положено так работать, подмены содержимого и сокрытия файлов же не было, так? :) Ну, самозащите и положено так работать, подмены содержимого и сокрытия файлов же не было, так? :)

]]> Комментарий к записи Легальные буткиты (Cr4sh) http://sww-it.ru/2011-11-28/558/comment-page-1#comment-12912 Cr4sh Mon, 28 Nov 2011 13:43:42 +0000 http://sww-it.ru/?p=558#comment-12912 Вяленький вброс: когда я в последний раз смотрел KIS/KAV -- он тоже вёл себя как типичный руткит (блокировал доступ к части своих файлов даже на чтение), про 100500 перехватов я и вовсе молчу. Вяленький вброс: когда я в последний раз смотрел KIS/KAV — он тоже вёл себя как типичный руткит (блокировал доступ к части своих файлов даже на чтение), про 100500 перехватов я и вовсе молчу.

]]> Комментарий к записи Ring-3 руткиты (Indy) http://sww-it.ru/2011-04-21/528/comment-page-1#comment-8833 Indy Sun, 05 Jun 2011 10:09:51 +0000 http://sww-it.ru/?p=528#comment-8833 > там, где не используется ebp (в том числе fastcall – просто как пример). Если процедура не Bp-based, то выполняется определение баланса стека. Это значение, на сколько байт изменяется стек между двумя адресами. Довольно просто реализуется с помощью графов. > там, где не используется ebp (в том числе fastcall – просто как пример).
Если процедура не Bp-based, то выполняется определение баланса стека. Это значение, на сколько байт изменяется стек между двумя адресами. Довольно просто реализуется с помощью графов.

]]> Комментарий к записи Свежий взгляд на антиотладку (Indy) http://sww-it.ru/2011-06-02/543/comment-page-1#comment-8831 Indy Sun, 05 Jun 2011 08:36:37 +0000 http://sww-it.ru/?p=543#comment-8831 > Process32Next Имя отладчика не имеет значения, достаточно найти отладочный порт: http://indy-vx.narod.ru/QueryDebugger.asm > Process32Next

Имя отладчика не имеет значения, достаточно найти отладочный порт:

http://indy-vx.narod.ru/QueryDebugger.asm

]]> Комментарий к записи Свежий взгляд на антиотладку (priv8v) http://sww-it.ru/2011-06-02/543/comment-page-1#comment-8739 priv8v Thu, 02 Jun 2011 18:01:44 +0000 http://sww-it.ru/?p=543#comment-8739 тем более я не про новые_ботинки/новые_рецепты_шавермы пишу, а про ИБ :) тем более я не про новые_ботинки/новые_рецепты_шавермы пишу, а про ИБ :)

]]> Комментарий к записи Свежий взгляд на антиотладку (SWW) http://sww-it.ru/2011-06-02/543/comment-page-1#comment-8737 SWW Thu, 02 Jun 2011 17:15:57 +0000 http://sww-it.ru/?p=543#comment-8737 Почему бы и нет? Человека начнут узнавать (м.б), там уже можно и свой собственный бложег завести. Я не против помочь. Почему бы и нет? Человека начнут узнавать (м.б), там уже можно и свой собственный бложег завести. Я не против помочь.

]]>