Visualizza messaggio singolo
Vecchio 28-11-2014, 09.53.06   #2
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Antivirus o presa per il c..o?

Bellissimo 3d, anche dal punto di vista espositivo.
Si, sono eseguibili standalone, ma compressi con upx.
Alcuni semplici passi investigativi preliminari possono essere percorsi per rendersi conto che un virus può:
1 - Essere mal interpretato, anche se rilevato
2 - Essere interpretato correttamente
3 - Essere del tutto ignorato dall'antivirus, se presenta accorgimenti che influiscono sulla metodologia di verifica della signature di confronto

Prova a decomprimerli e farli processare all'antivirus: -> Noti differenze nella rilevazione delle minacce ?
Cerca info sulla metodologia di infezione della minaccia identificata come BehavesLike.Win32.Dropper.dh: ->Esiste una qualche attinenza con lo script compilato e le operazioni che esso compie durante il suo funzionamento ?
L'antivirus ha scarsa affidabilità: -> La minaccia rilevata può essere un falso positivo ?
Le semplici chiamate alle API possono essere ritenute pericolose a priori, indipendentemente dall'esito che producono dopo essere state processate.
La minaccia rilevata coincide con la signature che l'antivirus confronta per rilevarla: -> Una particolare sequenza di bytes coincide con una metodologia ben nota di attacco ?
Qui le possibilità di errore interpretativo si sprecano, soprattutto quando sei certo che il compilato sotto rilevazione deriva da un tuo script del tutto innocuo, ma .... Il compilatore come ottimizza il codice eseguibile che produce ?

Le minacce devono superare tre fasi di rilevazione:
La prima riguarda l'identificazione della possibile minaccia direttamente nel codice compilato PRIMA che esso venga eseguito (le possibilità di bypass sono innumerevoli ed i falsi positivi notevoli)
La seconda riguarda l'identificazione della minaccia NEL MOMENTO STESSO in cui essa ha luogo
La terza riguarda l'identificazione della minaccia DOPO che essa ha avuto luogo, cioè quando le prime due fasi si sono concluse senza essere state bloccate in anticipo.
La seconda e la terza fase (soprattutto la terza) sono stettamente legate alle restrizioni imposte sul sistema e dall'utente che opera in quegli ambiti, quindi una buona dose di esperienza è attribuibile alle conoscenze dell'utente che agisca configurando il S.O. al di la di quelle che sono le impostazioni di default.
Un sistema adeguatamente configurato e dotato di strumenti antimalware è difficile da compromettere, pertanto buona parte delle minacce che attualmente circolano in rete sono dovute a complicità.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando