Visualizza messaggio singolo
Vecchio 28-11-2014, 13.37.23   #3
retalv
Forum supporter
WT Expert
 
L'avatar di retalv
 
Registrato: 13-03-2005
Loc.: Ultima stella a destra
Messaggi: 2.789
retalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raro
Rif: Antivirus o presa per il c..o?

Quota:
Inviato da LoryOne Visualizza messaggio
Si, sono eseguibili standalone, ma compressi con upx.
Solo se vuoi che lo siano... tutti i mei compilati non lo sono.

Quota:
Inviato da LoryOne Visualizza messaggio
Alcuni semplici passi investigativi preliminari possono essere percorsi per rendersi conto che un virus può:
1 - Essere mal interpretato, anche se rilevato
2 - Essere interpretato correttamente
3 - Essere del tutto ignorato dall'antivirus, se presenta accorgimenti che influiscono sulla metodologia di verifica della signature di confronto

Prova a decomprimerli e farli processare all'antivirus: -> Noti differenze nella rilevazione delle minacce ?
Cerca info sulla metodologia di infezione della minaccia identificata come BehavesLike.Win32.Dropper.dh: ->Esiste una qualche attinenza con lo script compilato e le operazioni che esso compie durante il suo funzionamento ?
L'antivirus ha scarsa affidabilità: -> La minaccia rilevata può essere un falso positivo ?
Le semplici chiamate alle API possono essere ritenute pericolose a priori, indipendentemente dall'esito che producono dopo essere state processate.
La minaccia rilevata coincide con la signature che l'antivirus confronta per rilevarla: -> Una particolare sequenza di bytes coincide con una metodologia ben nota di attacco ?
Qui le possibilità di errore interpretativo si sprecano, soprattutto quando sei certo che il compilato sotto rilevazione deriva da un tuo script del tutto innocuo, ma .... Il compilatore come ottimizza il codice eseguibile che produce ?

Le minacce devono superare tre fasi di rilevazione:
La prima riguarda l'identificazione della possibile minaccia direttamente nel codice compilato PRIMA che esso venga eseguito (le possibilità di bypass sono innumerevoli ed i falsi positivi notevoli)
La seconda riguarda l'identificazione della minaccia NEL MOMENTO STESSO in cui essa ha luogo
La terza riguarda l'identificazione della minaccia DOPO che essa ha avuto luogo, cioè quando le prime due fasi si sono concluse senza essere state bloccate in anticipo.
La seconda e la terza fase (soprattutto la terza) sono stettamente legate alle restrizioni imposte sul sistema e dall'utente che opera in quegli ambiti, quindi una buona dose di esperienza è attribuibile alle conoscenze dell'utente che agisca configurando il S.O. al di la di quelle che sono le impostazioni di default.
Un sistema adeguatamente configurato e dotato di strumenti antimalware è difficile da compromettere, pertanto buona parte delle minacce che attualmente circolano in rete sono dovute a complicità.
Tutto condivisibile ma a livello teorico...

La teoria cozza con la realtà della semplicità empirica.

Se compili un eseguibile AutoIt che è poco più che un eseguibile da C che ha un'unica istruzione printf, hai un bel da raccontarmi tutto quanto hai scritto con API e statistiche... un antivirus (oltretutto su un gateway WEB) non può permettersi il lusso di interpretare male sino a questo punto, prova ne è che il suo cugino povero (la versione PC) non fa una piega sull'argomento.

Se fossi una ditta e vedo un comportamento che mi obbliga a comprimere e crittografare l'eseguibile per farlo passare indenne, mi verrebbe un giramento di pelotas indescrivibile... poi la solita favola "...è meglio che non ne passi uno sano che 100 infetti..." la raccontano a chi non arriva a pensare che l'errore può avvenire (e avviene) anche in senso inverso.
retalv non è collegato   Rispondi citando