Форум
ПОИСК ПО ФОРУМУ
Портал
ПОИСК ПО ФОРУМУ
Авторы
Что нового
Медиа
Поиск медиа
Архив
Пользователи
Сейчас на форуме
Поиск сообщений в профиле
ПОИСК
Вход
Регистрация
Что нового
ПОИСК ПО ФОРУМУ
Меню
Вход
Регистрация
Установить приложение форума
Установить
Уменьшение отступа
Обратная связь
(info@ru-sfera.pw)
Форум
Безопасность системы
WINDOWS - КОМПЬЮТЕР БЕЗ АНТИВИРУСОВ !
Маскируемся под виртуалку [fakevm]
JavaScript отключён. Для полноценно использования нашего сайта, пожалуйста, включите JavaScript в своём браузере.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нем неправильно.
Необходимо обновить браузер или попробовать использовать
другой
.
Ответить в теме
Сообщение
<blockquote data-quote="Антоха" data-source="post: 142233" data-attributes="member: 1411"><p style="text-align: center">[ATTACH=full]58917[/ATTACH]</p><p>Где-то в треде на форуме упоминал комментарий юзера с Хабра. Суть его была в том, что большое количество вредоносов имеет на борту <a href="https://ru-sfera.pw/threads/poleznye-procedury-i-funkcii-dlja-delfi.1930/#post-108263" target="_blank">функции антивиртуалки</a>, антидебага и т.д. То есть во избежание изучения, малварь тупо не запускается на виртуальных машинах, крашится в ольке или же к примеру не отрабатывает при наличии в системе определённых процессов софта от Руссиновича. И было выдвинуто предложение, а что если эту фишку зловредов использовать против них самих же. Навтыкать фейковых процессов, ключей реестра, определённых служб в реальную систему (в общем всех признаков по которым малварь и проверяет окружающую среду в которой её запускают). Мысль понятна? В итоге комментарий потонул под грудой других коммов и развития не получил.</p><p>Сейчас наткнулся на статью в одном бложеке, где чел написал пруф-концепт подобного</p><p><a href="https://github.com/theevilbit/fakevm" target="_blank">GitHub - theevilbit/fakevm: POC kernel driver to make a normal Windows desktop show up as a VM.</a></p><p>Это обычный скрипт на питоне с помощью которого можно замаскировать реальную систему под Vbox или VMware. Аверы пока не особо торопятся взять эту фичу на вооружение. Блогер упомянул лишь <a href="https://www.hitmanpro.com/en-us/alert.aspx" target="_blank">HitmanPro.Alert</a> который имеет эту функцию, а так же <a href="https://github.com/rapid7/vaccination" target="_blank">похожий инструмент</a> который включает в себя и фейковые признаки наличия Olly Debugger.</p><p>Полная статья <a href="http://theevilbit.blogspot.ru/2015/10/make-your-desktop-fake-virtual-machine.html" target="_blank">The Evil Bit Blog: Make your desktop a fake Virtual Machine to defend against malware</a></p><p>Не рекомендуется использовать вышеописанное на рабочей системе. Это же пруф-концепт как никак..</p><p></p><p>Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии?</p><p></p><p>p.s. В дополнение к тексту выше - <a href="http://theevilbit.blogspot.ru/2016/06/defend-against-malware-with-fake.html" target="_blank">защита от вредоносных программ с помощью фейковых окон отладчика.</a></p></blockquote><p></p>
[QUOTE="Антоха, post: 142233, member: 1411"] [CENTER][ATTACH=full]58917[/ATTACH][/CENTER] Где-то в треде на форуме упоминал комментарий юзера с Хабра. Суть его была в том, что большое количество вредоносов имеет на борту [URL='https://ru-sfera.pw/threads/poleznye-procedury-i-funkcii-dlja-delfi.1930/#post-108263']функции антивиртуалки[/URL], антидебага и т.д. То есть во избежание изучения, малварь тупо не запускается на виртуальных машинах, крашится в ольке или же к примеру не отрабатывает при наличии в системе определённых процессов софта от Руссиновича. И было выдвинуто предложение, а что если эту фишку зловредов использовать против них самих же. Навтыкать фейковых процессов, ключей реестра, определённых служб в реальную систему (в общем всех признаков по которым малварь и проверяет окружающую среду в которой её запускают). Мысль понятна? В итоге комментарий потонул под грудой других коммов и развития не получил. Сейчас наткнулся на статью в одном бложеке, где чел написал пруф-концепт подобного [URL='https://github.com/theevilbit/fakevm']GitHub - theevilbit/fakevm: POC kernel driver to make a normal Windows desktop show up as a VM.[/URL] Это обычный скрипт на питоне с помощью которого можно замаскировать реальную систему под Vbox или VMware. Аверы пока не особо торопятся взять эту фичу на вооружение. Блогер упомянул лишь [URL='https://www.hitmanpro.com/en-us/alert.aspx']HitmanPro.Alert[/URL] который имеет эту функцию, а так же [URL='https://github.com/rapid7/vaccination']похожий инструмент[/URL] который включает в себя и фейковые признаки наличия Olly Debugger. Полная статья [URL='http://theevilbit.blogspot.ru/2015/10/make-your-desktop-fake-virtual-machine.html']The Evil Bit Blog: Make your desktop a fake Virtual Machine to defend against malware[/URL] Не рекомендуется использовать вышеописанное на рабочей системе. Это же пруф-концепт как никак.. Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии? p.s. В дополнение к тексту выше - [URL='http://theevilbit.blogspot.ru/2016/06/defend-against-malware-with-fake.html']защита от вредоносных программ с помощью фейковых окон отладчика.[/URL] [/QUOTE]
Проверка
Ответ
Форум
Безопасность системы
WINDOWS - КОМПЬЮТЕР БЕЗ АНТИВИРУСОВ !
Маскируемся под виртуалку [fakevm]
Верх
Низ