|
Антизвери vs эксплоиты
Интересует принцип распознавания сплоитов. Я только знаю, что сначала антивирь смотрит страницу сплоита, и если его там все устраивает, то он его отпускает. Но, допустим, что сплоит зашифрован. Тогда идет расшифровка и сплоит выполняется. Но, я слышал, что антивири проверяют не только то, что предлагает им непосредственно сама страница сплоита, но и то, что в итоге передается браузеру в отдекоденном виде. Получается, нет смысла от крипторов или как? Что тогда делать? Менять тело сплоита постоянно? Спасибо
|
Кажется, все зависит от антивируса и вида сплоита.
Нуу...Например, антивирь знает, что на 135 порту есть уязвимость. Неважно какая, она просто есть. Антивирус видит, что сплоит. Безобидный на вид ломится в порт, в эту дыру. Антивирь не знает, с какой целью он это делает, но автоматом поднимает тревогу и блочит сплоит. Думаю. Если анивирь с проактивной защитой, криптор, думаю, мало полезен. Он лишь снижает возможность распознавания, но не исключает ее полностью. |
тут надо конкретно знать, как ав детектят сплоит :) иногди помогает вставить паузы, допустим первый слой крипта -> пауза 5-10сек -> второй слой крипта -> сплоит. для некоторых ав такая тема прокатывает. иногда необходимо провести обсфуркацию сплоита. ну и все в том же духе.
|
Вот проект от n0153r, UASC:
http://uasc.org.ua/2009/05/анти-експлоіт/ Скачать: http://uasc.org.ua/files/AntExp.rar |
ерунда какая-то, всё сводиться к
Код:
if Enabled then if getMemorySize>MemorySize*1024*1024 then Suspend; |
Где-то видел фичу - сплоит делится на части и у жертвы собирается, иногда прокатывало =)
|
| Время: 23:39 |