Шифраторы атакуют! Методы противодействия и проекты av-софта

[Лекс Айрин]

Alex2013, еще можно загнать ось в ПЗУ (псевдоПЗУ) вместе с программами и вне его оставить только данные пользователя -- любой лишний процесс будет явно зловредом. Но обновление тогда будет усложнено на порядки.

[vada]

Нет у вас методов против Кости Сапрыкина.

[Лекс Айрин]

vada, всего шампанского не перепить, но стремиться к этому надо))

Вообще, если подобными делами приходится заниматься на компах пользователей, то что-то в прогнило в датском королевстве(((

[Pavia]

Alex2013, еще можно загнать ось в ПЗУ (псевдоПЗУ) вместе с программами и вне его оставить только данные пользователя -- любой лишний процесс будет явно зловредом. Но обновление тогда будет усложнено на порядки.

Кстати вот не самый дешёвый, но простой способ. Карт ридер SD карта, там есть рычажок для защиты от записи. Ставим линукс и работаем.

[Лекс Айрин]

Кстати вот не самый дешёвый, но простой способ.

Думаю, это как раз самый дешевый способ. SDкарту можно найти рублей за 300 Можно, кстати, поступить еще просто -- готовим live CD/DVD со всем нужным и нарезаем болванку. А на оставшейся части специальной прогой делаем узор. Единственное, что может волновать это долговечность самой болванки и привода.

[Alex2013]

Кстати вот не самый дешёвый, но простой способ.

Думаю, это как раз самый дешевый способ. SDкарту можно найти рублей за 300 Можно, кстати, поступить еще просто -- готовим live CD/DVD со всем нужным и нарезаем болванку. А на оставшейся части специальной прогой делаем узор. Единственное, что может волновать это долговечность самой болванки и привода.

На SDкарту Линукс ставил ... Проверено работает ... но не очень надежно ...
Но Риад Онли "только чтение" там не выставишь в принципе ....

Live CD/DVD это всегда урезанная ось .... Единственный "условно реальный" способ поставить реально МНОГО памяти и если это возможно разворачивать ось на "Виртуальный диск" ... Недостаток сбои питания ... и наша песня хороша начинай сначала.

Зы :
Чего только не придумают лишь бы НИЧЕГО НЕ ПИСАТЬ ... и отговорить того кто хочет и может ...
Хотя тот-же Каталогизатор(Ака "Бульдозер") всем ведь по идее нужен и полезен сам по себе .
( Причем чаще всего именно СВОЙ заточенный под личные нужды ...)

База проекта может быть общая ... По сути простой сканер ФС + простая БД ... Единственная фишка в быстрой и надежной проверке целостности реально больших файлов и архивов .Там нужно подумать. (Но сложностей особых нет )

А дальше можно делать расширение поиска, картотеку, версии и т.д .
Когда-то давно видел подобную "самодельную фишку " для дискет (Было довольно удобно и устроенно было как единая "виртуальная ФС " ) Нашел файлы в бд... отметил .... выбрал операцию... и не глядя вставил дискеты по запрашиваемым номерам ....
Кстати мысль ! Можно и "облака" в интернете подключить .

[azsx]

Хотя тот-же Каталогизатор(Ака "Бульдозер")

Помню во времена доса был антивирус aid чего то там. Он именно снимал md5 суммы всех exe файлов и сверял их потом. На подобном принципе работает антивирус для сайта, айболит.
Вопрос, а зачем это?
Если вирус пока шифрует файлы отдает их реальные значения, то толку сверять md5 суммы также нет. Я не прав?

[Лекс Айрин]

Чего только не придумают лишь бы НИЧЕГО НЕ ПИСАТЬ ...

На самом деле, если писать, то с нуля и ВСЕ.

Добавлено спустя 34 минуты 52 секунды:
Re: Шифраторы атакуют! Методы противодействия и проекты av-софта

Вопрос, а зачем это?

Чтобы проверить на заражение, а потом на действенность лечения. Тогда еще был шанс восстановить файлы после заражения.

[azsx]

Кстати программу каталогиразатор нашёл, потестю отпишусь, чтобы спамом не считали.

Добавлено спустя 3 часа 6 минут 21 секунду:
Re: Шифраторы атакуют! Методы противодействия и проекты av-софта
Но я всё таки не понимаю. Вот создали дерево каталогов и файлов винды. Вирус при записи изменяет какой то exe файл что ли типа paint.exe? Добавляет в машинных кодах вместо конца программы какой то вредоносный код?
1. Правильно ли я понял суть работы вирусов?
2. Почему кто то думает, что такое сразу не отловит антивирус?

---
Программа _ttps://www.securitycode.ru/products/secret_net/required/ демо дают только по запросу. Интересно, что во время загрузки стартового экрана уже появляется логотип сбоку, до ввода пароля даже. Также комп стал сам переходить в блокировку.
Контролирует реестр и файлы по crc7 коду. Но я exe файл изменил не в каталоге винды, вроде программа не заметила. Также может блокировать usb порты, имеет модуль блокировки доступа к винчестеру при загрузке с внешнего носителя (хз как это). Стоит на 1 комп 10-13 тысяч.

[olegy123]

Но я всё таки не понимаю. Вот создали дерево каталогов и файлов винды. Вирус при записи изменяет какой то exe файл что ли типа paint.exe? Добавляет в машинных кодах вместо конца программы какой то вредоносный код?

Сейчас это не используют, патамучто существует сертификация.. + права доступа.

[Лекс Айрин]

Правильно ли я понял суть работы вирусов?

Да, классических.

Почему кто то думает, что такое сразу не отловит антивирус?

Потому что так уже почти не делают. Размер и сложность системы таковы, что вирусы не подменяют файл, а просто копируют себя целиком как исполняемый файл в укромных местах. Т. е. этот файл целиком вирус (зловред).

[azsx]

то есть смысл не поиска изменений в exe, смысл поиска зловреда в укромных местах? Например, в каталоге system32 появился новый petya.exe, верно? Или искать надо только всяких скрытых местах mbr, а также в потоках ntfs?
То есть смысла в каталоге хеш сумм ехе файлов по сути нет?

[Лекс Айрин]

то есть смысл не поиска изменений в exe, смысл поиска зловреда в укромных местах? Например, в каталоге system32 появился новый petya.exe, верно?

Примерно так. Например, у меня был бзик удалять зловредов у людей без антивируса ручками, заходя с флешки. Причем, не приходилось заглядывать в системные папки совсем. Потом прогонял клинером и уже потом демонстрировал антивирус не находящий ничего опасного.

[azsx]

прогонял клинером

что это такое?

[Лекс Айрин]

azsx, клинер это программа чистки системы (временные файлы, реестр...) от хлама. Лично я привык к CCleaner-у.