Jump to content

ktulhu

Members
  • Content Count

    12
  • Joined

  • Last visited

About ktulhu

  • Rank
    Candidate

Recent Profile Visitors

406 profile views
  1. Имелся в виду WinHEX, и потом не проще ли так и было сразу написать: Ладно, проехали. Надо на досуге будет опробовать чего будет. А вот почему AVZ падает, был поставлен несколько иначе: не при одновременном использовании AVZ и ProcMon'а, а при запуске первого после последнего. При работающем ProcMon'е у AVZ багов не наблюдается. Кстати, что значит ?????
  2. Тут и семи пядей во лбу быть не надо, чтобы понять, что у товарища малварьные скрипты в потоках. Убивать их умеют одинаково хорошо AVZ или streams Руссиновича.
  3. плодить малварь, значит плодить малварь и точка. малварь - стяжание двух аглицких слов malicious software, то бишь вредоносное ПО. каким образом через броузер можно создать малварь? да через что угодно! через кукики, через jscript'ы, через flash-анимацию и дыр и пыр.
  4. Seregin Для тех кто в танке: сидеть под рутом, значит работать в системе с правами админа. Я, например, всегда из-под гостя работаю А чтобы оперный броузер под админкой не плодил малварь, запускай его с ограниченными правами. psexec - тулза из набора PsTools, что на http://technet.microsoft.com/en-us/sysinte...s/bb842062.aspx Все эти рекомендации были даны на будущее.
  5. Seregin И не сиди под рутом впредь! Ну а если так хочется, то по крайней мере запускай с ограниченными правами с помощью psexec, например так: psexec -l -d "%programfiles%\opera\opera.exe"
  6. А не проще ли организовать поддержку безопасных файлов через облако? Ну, не совсем чтобы все было "затучено", а при первом сканировании системы AVZ конектился к инету и оттуда брал/пополнял сведения о безопасных файлах. По-моему, это намного эффективней нежели текущая система пополнения базы "чистых", хотя, уверен, Олег, у тебя свои взгляды на сей счет, так?
  7. Дядь, я конечно понимаю всю оригинальность хода ваших мыслей, но, во-первых, вы не дали мне ответа на поставленный вопрос, во-вторых, ветка реверсинга была бы очень кстати, хотя бы потому, что лично мне интересны не только методы прищемления малвари, но и их внутренности, а потому ерничать здесь не стоит. Тем паче, что я уже писал, что САМ КОВЫРЯЮ, а это значит, что я как раз скачиваю и рассматриваю, но достойных экземпляров мало.
  8. Буду признателен за указание на данную ветку Да! Пардон за оффтопик, но! Где раздел реверсинга? Очень нуна, так как я сам люблю малварь поковырять под варей (vmware).
  9. Дядь, во-первых, пора бы уже повзрослеть и задуматься о стерилизации флешки сразу же после ее покупки, благо в инете полно информации о том, как это сделать самостоятельно. Я бы взялся за написание, но у меня у самого работы ЗАВАЛИСЬ. Зато есть предложение: создать ветку типсов и триксов по выявлению малвари руками для последующей передачи на анализ Олегу или самой лаборатории. А? Что на это скажете?
  10. Если пошариться в корзине хексом, то никакой малвари не наблюдается. И тогда как объяснить сей факт? По-моему, это все же баг AVZ. Дабы не быть голословным приведу пример. Посмотрим на содержимое RECYCLER в PowerShell: ls recycler\{sid} -force Выводом будет что-то вроде: desktop.ini INFO2 AVZ грохает для чего-то desktop.ini, а INFO2 остается на месте. Вот этого я никак понять не могу. Виндовые инишки стали малварью? Да и флеша в системе нема (я выношу эту гадость под корень из системы). Но у меня возник и другой вопрос: почему AVZ падает всякий раз, если до него был запущен ProcMon Руссиновича? Причем так только на XP.
  11. Вообще-то я в курсе. Я имел в виду то, что информацию об этом было бы неплохо включить в справку хотя бы для того, чтобы те, кто только начинают пользоваться AVZ, знали что разумнее всего запускать сканирование ею в безопасном режиме. Хотя на этот счет мнения могут быть различны. Я вообще считаю, что было бы неплохо еще сделать LiveCD с данной тулзой на борту, но, во-первых, это оффтоп с моей стороны, во-вторых, дело вкуса.
  12. Лично меня напрягает отсутствие оффлайн справки в формате chm, вместо этого Олег настойчиво в дистрибутив вносит древний cnt, о котором сама Microsoft пытается забыть как о страшном сне. Это во-первых, во-вторых было бы неплохо действительно справку дополнить и подкорректировать (например, написать про (не)возможность запуска в безопасном режиме), а не хвастать серфтификатом на титульной странице, как это наблюдается он-лайн. Кстати, мне бы также хотелось прочитать в справке причины того, зачем AVZ вообще понадобилось жать UPX: если для того, чтобы она была распакована в память, то по-моему это не столько разумно, сколько дурной тон, ибо в давеча я наткнулся на довольно интересное описание того, как можно AVZ модифицировать при запуске, - и это бы тоже неплохо было бы внести в справку по причине того, что техник самозащиты у AVZ не предусмотрено на корню. Это напрягает, а в справке между тем об этом ни слова.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.