1. Do you speak English? Use the English version of the site! Link
    Скрыть объявление
Скрыть объявление
Здравствуй гость! После регистрации на ресурсе, ты сможешь скачивать материалы с форума и участвовать в его жизни! Для регистрации откройте соответствующую форму или нажмите на эту ссылку.

Часть вторая - для продвинутых

Тема в разделе "Прочее", создана пользователем garikkk, 29.10.2015.

  1. garikkk

    garikkk Забанен

    Янв 11 2016 в 15:19
    Регистрация:
    13.10.2015
    Сообщения:
    169
    Симпатии:
    55
    Эту часть статьи читает тот, кто уже что-то смыслит в компьтерах и вирусах.
    Здесь мы пойдем дальше, чем просто узнать, есть ли вирус в файле. Мы будем узнавать, что это за вирус.
    Итак, сканируем файл на вирустотале
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
    Скажу сразу,для проверки я взял Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок! обыкновенный, немного модифицированный.
    На вирустотале нам не дают никакого описания вируса, только его название. а это мог быть и не вирус вовсе, а хакерская тулуза. что же делать?
    здесь нам поможет гугл. вводим туда название нашего вируса, и ищем описание. В моем случае я использовал Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок! - это проект от лаборатории касперского, на котором выкладываются описания всех изученных ими вирусов.
    вводим в поиск название вируса, которое выдал нам касперский
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
    и получаем его описание. Здесь мы видим, что вирус прописывается в автозагрузку. а по названию "Fullscreen" мы може догадаться что он блокирует экран.

    С этим немного разобрались, но что делать если VIRUSTOTAL НЕ ВИДИТ ВИРУСЫ, а вы все-же подозреваете что там есть бяка?
    для глубокого анализа методом эмуляции есть хороший сервис под названием Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    что такое метод эмуляции?
    Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет вирусную активность, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.


    Загружаем туда файл, и ждем пока он анализируется, а потом смотрим какие действия он выполняет.

    здесь мы можем поглядеть развернутую информацию о вирусе, как да что он вытворяет в системе, какие записи реестра создает, куда копируется и на что влияет.

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    можете сами посмотреть Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Важно, что если вы полный нубяра, но с завышеным Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок! и решили сразу читать этот раздел, то вы ничего не поймете. Для того чтобы понять, нужно разбираться в записях реестра и запущенных DLL'ках.

    здесь закончили

    Теперь мы уж точно не попадемся на вирус
    p.s. кстати у Comodo существует подобный сервис -Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Переходим к третьей части: Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
     
    #1 garikkk, 29.10.2015
    Последнее редактирование: 29.10.2015