 |
|
|
ru.nethack- RU.NETHACK ------------------------------------------------------------------- From : Olli Artemjev 2:5020/400 01 Aug 2002 20:19:31 To : Dmitry Radishev Subject : Re: червяки и распределенные вычисления? --------------------------------------------------------------------------------
Dmitry Radishev wrote:
> YK> Хорошая мысль, но дело ведь не только в изменениях файлов.
> YK> Дело еще в том, что червю или вирусу нужно выполнять какие-либо
> YK> действия. По этим действиям можно определить наличие данного вируса
> Или выполнять, но только по ночам. Или когда rnd(-time)<0.3. Или только
> при отсутствии каталога "Program Files\Kaspersky lab". Или выполнять, но
> по эвенту, поставленному на пять часов после запуска вируса.
> Как такого зверя обнаружить по "действиям"?
Как только твой червь попался его начинают дрючить на предмет сигнатур.
Какая разница что делает код и когда, если он оказывается в памяти, а
вакцина способна его прочесть и сравнить с шаблоном? Если есть возможность
сделать сигнатуру, то разбираться, что делает паразит будут только один раз
- при ее создании. Если сигнатуру сделать нельзя, но есть набор симптомов
- например, проверка наличия каталога касперского "некасперской"
программой, то будут обнаруживать по факту наступления события,
правда это уже должна будет делать постоянно висящая в памяти вакцина. В
общем, дальше уже подробности борьбы щита и меча, ньюансы. Даже если для
отлова придется вешать хуки на системные фуункции это не принципиально.
--
Bye.Olli http://olli.digger.org.ru
MISiS Telecommunications ; CTO, Metaltelecom.PGP fingerprint:
154B 5A59 DF51 6602 F589 2314 C77A 5292 6879 649A
--- ifmail v.2.15dev5
* Origin: skylabs (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.nethack/6577b5b71467.html, оценка из 5, голосов 10
|
|
|