Интересная вещь ......... делая некоторые программы ....нод выдает что это не известный ПЕ вирус .... хотя к таковым программа ни как не относилась ......... он постоянно ее удалял ...сразу после сборки Масмом.... причем я так понял врубаясь в процесс сборки ...так как мой линк ...выдавал все кроме того что ехе ....т.е. ехе как бы и нет .................... потом я решил запаковать .....паовал FSG 2 ... потом прошелся сверху криптором Морфином .... в результате все равно выдает неизвестный ПЕ вирус ...........я подумал что дело в размере .............. увеличил размер ...присоединив другую прогу .... опять паковщик и криптр ......но опять без результатов ............. ...... Паковал потом Asprotektom ...... таже фигня ...........

Теперь вопрос ............ !1.по каким еще параметрам он может сделать вывод ..... и 2 . у него есть файл NOd32krnl ..... он работает с привилегиями кернел ?


Версия нода 2.70.25
ESET NOD32 неоднократно доказал, что имеет лучшие показатели обнаружения вирусов, самое быструю скорость сканирования и потребляет минимум системных ресурсов. ESET NOD32 защитит Ваш компьютер от всех разновидностей вирусов, червей, троянов, нежелательных программ шпионского и рекламного характера, о чем свидетельствует множество наград и сертификатов таких авторитетных лабораторий, как Virus Bulletin, Checkmark и других.

информация о самых последних новостях (награды, вирусы, пресс-релизы и т.п.) доступна по адресу: www.esetnod32.ru.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

буогого, это вы нам так моск пытаетесь ноебать своими сказкоми, скожите правду что модифицируете гавнопинч, ибо нод с нихуя таг не ругается..

| Сообщение посчитали полезным:

mak пишет:
по каким еще параметрам он может сделать вывод
эвристик срабатывает.
например если у тебя используется UrlDownloadToFile, который скачвате exe, а затем еще и сразу и запуск оного.
еще много разных вариантов - в последнем хакере была статья Криса про методы работы эвристика.

-----
in search of sunrise

| Сообщение посчитали полезным:

Ха, тоже встречалсяс этим его поведением. Было что-то типа OpenProcess + WriteProcessMemory + CreateRemoteThread.

| Сообщение посчитали полезным:

mak если несмотры на вердикт NODа ты всёже хочеш получить файл при компиляции ,или запустить что-либо,то просто оключи на время ''Резедентный модуль (AMON) ''.Только юзай не в насторойках,а в разделе ''Резедентные модули и фильтры''.


specz пишет:
ибо нод с нихуя таг не ругается
Иногда бывает и ругается,а иногда когда должен ругаться молчит

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

В последних версиях НОД-а есть баги, а на на айс он не ругается?

| Сообщение посчитали полезным:

[OffTop]

Блин, что всем так NOD нравится? Не люблю я его за то, что гадости не видит, а на НЕ гадости - ругается...

[/OffTop]

| Сообщение посчитали полезным:

Shidla пишет:
Блин, что всем так NOD нравится?
да совсем не нравится.
кстати на Васме был хороший топик по исследованию Нода32, жаль что заглох

-----
in search of sunrise

| Сообщение посчитали полезным:

specz пишет:
скожите правду что модифицируете гавнопинч
Я писал дровину, так он ее тоже обозвал неизвестным вирусом . Судя по всему эвристик сглючило по IAT драйвера. Немного пришлось переделывать, но ХЗ ИМХО он так только будет ложные срабатывания показывать, на реальной малвари обломается. (Судя по тому, что наколоть его оказалось слишком легко). Да и вообще сомнительные способы детекта он использует если ругается на все что ни попадя. Кстати на www.virustotal.com больше ни один авирь кроме НОДа не ругался. Блин, теперь приходится каждый день прогонять все через virustotal....

-----
Research is my purpose

| Сообщение посчитали полезным:

specz пишет:
буогого, это вы нам так моск пытаетесь ноебать своими сказкоми, скожите правду что модифицируете гавнопинч, ибо нод с нихуя таг не ругается..
Как не странно на на пинч он не реагирет ...... запакованный ...... и модифицированный bloom пишет:
mak пишет:
по каким еще параметрам он может сделать вывод
эвристик срабатывает.
например если у тебя используется UrlDownloadToFile, который скачвате exe, а затем еще и сразу и запуск оного.
еще много разных вариантов - в последнем хакере была статья Криса про методы работы эвристика.

А ссылочки нет ???
MACKLIA пишет:
mak если несмотры на вердикт NODа ты всёже хочеш получить файл при компиляции ,или запустить что-либо,то просто оключи на время ''Резедентный модуль (AMON) ''.Только юзай не в насторойках,а в разделе ''Резедентные модули и фильтры''.
Можно еще в исключения MACKLIA пишет:
specz пишет:
ибо нод с нихуя таг не ругается
Иногда бывает и ругается,а иногда когда должен ругаться молчит
Вот я про тоже ......

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Проблема всех антивирусов в том что им нужно время, иногда длительное, что бы задетектить вирус.Обнаружение в 90-99% происходит когда он уже отработает (если неизвестный).
У меня стояли антивири разные их exploitили и ничего.Однажды мне мылом в "скрипте" в ящик кинули так он отработал на ура! и никто его не спалил (кроме меня).Так что пока - Антивирус на помойку!

| Сообщение посчитали полезным:

atoll пишет:
Проблема всех антивирусов в том что им нужно время, иногда длительное, что бы задетектить вирус
Незнаю как у тебы но у меня NOD при открытии папки ,в которой нажодится вир,показывает окно предупреждения (хотя сам файл я еще незапускаю).


atoll пишет:
Антивирус на помойку!
Ну это заветная мечта любого начинающего вирусописателя.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

единственный антивирь с которым пришлось столкнуться, и у которого много ложных срабатываний, даже на трейнерах это наверное Bitdefender со своей психопатной эвристикой..
а про NOD32 чтобы уж так, то явно видимо глюки, либо хз, т.к. не видел ещё :\

| Сообщение посчитали полезным:

bloom пишет:
кстати на Васме был хороший топик по исследованию Нода32, жаль что заглох
Не заглох, просто доразбирали эвристику и вопросов не осталось.

specz пишет:
единственный антивирь с которым пришлось столкнуться, и у которого много ложных срабатываний
вы еще Antivir не юзали

atoll пишет:
Проблема всех антивирусов в том что им нужно время, иногда длительное, что бы задетектить вирус
в АВ конторах нету экстрасенсов, и естественно чтоб составить сигнатуру нужно чтоб вирус попал в руки Аверов (еще не каждому дано туда попасть).

bloom пишет:
эвристик срабатывает.
например если у тебя используется UrlDownloadToFile, который скачвате exe, а затем еще и сразу и запуск оного.
UrlDownloadToFile в открытом виде юзают только тупые вирусы

| Сообщение посчитали полезным:

mak пишет:
Теперь вопрос ............ !
1. по каким еще параметрам он может сделать вывод ..... и
2. у него есть файл NOd32krnl ..... он работает с привилегиями кернел ?
1. По многим. Если тебе нужно скомпилить файл просто отключи его и все, необязательно разбирать его эвристику.
2. Что за привилегии такие кернел?

| Сообщение посчитали полезным:

Юзай Касперского - и проблем не будет =) почти не будет =)

| Сообщение посчитали полезным:

как раз в тему
bypassing the heuristic scan
://opensc.ws/showthread.php?p=10422#post10422

-----
in search of sunrise

| Сообщение посчитали полезным:

kaiZer пишет:
Юзай Касперского - и проблем не будет =) почти не будет =)
+2

Если я не ошибаюсь, то такая тема была на РуБорде... Если она исчё не загнулась...
P.S.: Прошу прощения если повторяю кого-либо...

| Сообщение посчитали полезным:

kaiZer пишет:
Юзай Касперского - и проблем не будет

поймал W32.Beagle.DZ (через простой эксплоит в бровзере).
Так он сцуко каспер вырубил. Не давал ему запуститься. Дал удалиться . Не дал переустановиться. Также не давал установиться НОД'у и др.вебу. Вообще не был виден в процессах через user32 api и через kernell32 api.
Скрывал свои файлы в папке хуком каким-то... и конечно скрывал запись в реестре о своём автозапуске (не помню этот метод, кажется что-то с нейтив апи связано и стандартным способом символы в реестре не читаются, поправте если не прав). Вобщем жесть - продуманая зверушка!

Так вот тут-то я и понял всю прелесть антивирусной утилиты AVZ!
В ней куча инструментов для тех, кто не желает отдавать инициативу полностью в руки антивиря.
Наиболее интересные инструменты:
1. Иccлeдoвaниe cиcтeмы
2. Boccтaнoвлeниe cиcтeмы
3. Диcпeтчep пpoцeccoв
4. Диcпeтчep cлyжб и дpaйвepoв
5. Moдyли пpocтpaнcтвa ядpa
6. Meнeджep aвтoзaпycкa
7. Oткpытыe пopты TCP/UDP
8. еще много интересного!
С AVZ я увидел и убил процесс hidr.exe, удалил его из автозапуска и удалил невидимые файлы.
А антивирусы обосрались прямо на этапе установки. (вот оно слабое место всех антивирей)

Так что не стоит доверять полностью своему "любимому" антивирусу, не лишним будет иметь прозапас эту --> утилитку <-- http://z-oleg.com/secur/avz/download.php , не требующую установки.

| Сообщение посчитали полезным:

MACKLIA Не знаю, часто ли запускаешь проги ,но мне приходится часто.NOD у меня был 2 года назад его успешно exploitили через 2-3 дня ,переустановка его ничего не меняла.Трои и вири плодились как хотели.
Мне это надоело и теперь сам определяю.Раньше еще сверялся правда, по-моему панда подтверждала точно,
остальные молчали.Сейчас выработано чутье и ложное определение где-то 0- 5% даже определяю бакдоры
в полне на первый взгляд нормальных(коммерч) приложениях.Сейчас уже чаще встречаю где-то 5 из10 приложений spyware.Запротекченные - вообще можно сразу в VMware грузить - почти каждая!
Замечу - никто их не детектит! ну изредка - что-то типа "подозрително" и то через полный скан всего.
Может сейчас что-то изменилось и в последних АВах но мне лучше собственная бдительность.
Почитай например ...недавний топик -"кейлоггер" И там стоял антивирь!
Enigma пишет:
Юзал пару месяцев назад в фирме друга - Perfect Keylogger 1.64 + Private версия протектора (чтобы скрыть детект антивирусов). Результат: уволено пару мужиков - взято пару телок, сейчас никто уже не шалит!

| Сообщение посчитали полезным:

мда) ну вы даёте, с такими мыслями откусите сетевой кабель, залейте свинцом системный блок,
и закапайте на 15-ти метровой глубине! вот тогда можите быть спокойны, коварные вирусы его не достанут...

6 лет компу, ниодного антивиря, из защитного софта только RkUnhooker и The Cleaner...
раз в месяц сканю антивирусником (который сразу удаляю, в основном битдефендер или касперчег)
ловил только Win32 так что вот так...

з.ы. походу ща опять холли вар начнётся... каждый будет проталкивать свой любимый АВ

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
+1. А ещё можно комп продать - сплошная выгода, да и только

| Сообщение посчитали полезным:

bash пишет:
(через простой эксплоит в бровзере
Неужели еще есть люди, которые запускают браузер, ICQ-клинет и т.д. с правами админа? Опомнитесь! Зачем нагружать систему впустую сигнатурным сканером, если намного проще и эффективнее порубать права браузеру? Если так лень создавать пользователя и запускать от его имени - юзайте DropMyRight's, эффект тот же, почти, но запускается все через ярлык.

-----
Research is my purpose

| Сообщение посчитали полезным:

любимого нет и не может быть, у всех есть минусы, хотя я непрочь от антивиря всего с 1 кнопкой - ЗОЩИТИТЬ.. Эдакий кашерный софт, который защитит нетолько от вирусов и троев, но и новодненией, торнадо и ещё хз чего :\

| Сообщение посчитали полезным:

specz Есть такие но без кнопок-сносит ФАТы и прошивки.Как то здесь такой выкладывали крэкми для теста.И ты будешь защищен даже от Била

| Сообщение посчитали полезным:

Error_Log пишет:
Неужели еще есть люди, которые запускают браузер, ICQ-клинет и т.д. с правами админа?
да, еще есть, но уже одним меньше

| Сообщение посчитали полезным:

bash пишет:
А антивирусы обосрались прямо на этапе установки. (вот оно слабое место всех антивирей)
Че тут удивительного.Ламерская техника отключения, в 30-40 строк сишного кода...

И вообще этот топик - полное дерьмо. Поковыряйте сами эти аверы, а не читайте их рекламу.Только тогда оценка будет объективной, и будет смысл о чем-то говорить.А пока, это все - треп ламеров!
Убейтесь! (С) specz

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

bash Ну это конечно зверство =) чтоб все антивири так..

| Сообщение посчитали полезным:

Короче господа читайте книгу Криса Касперски "Записки иследователя компьютерных вирусов",скачайте прогу про которую писал bash

bash пишет:
Так что не стоит доверять полностью своему "любимому" антивирусу, не лишним будет иметь прозапас эту --> утилитку <--, не требующую установки.
И незапускайте всякую херню.

Кстати эта прога показывает автозагрузку которую вупор не видит MSConfig ( для тех кто незнает: Пуск->
Выполнить ->MSConfig =Автозагрузка) и вперёд троянов искать.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Меня вот такая информация интересует ...... посмотрите ))))))))

www.nf-team.org/drmad/zf/zf5/zf5_010.htm
www.nf-team.org/drmad/zf/zf5/zf5_011.htm
www.nf-team.org/drmad/zf/zf5/zf5_012.htm

есть что то вроде этого еще ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: