שאלה ל uzi2
- פותח הנושא שי הוא שי
- פורסם בתאריך
אין אנטי וירוס מושלם
לכל אנטי וירוס ימצאו מעקף, ומפתחי האנטי וירוס ייסגרו אותו וחוזר חלילה. אני אישית לא אוהב להשתמש בהם מכיוון שהם יותר מפריעים ממה שהם עוזרים. הפתרון הכי טוב זה הגיון בריא: להיזהר מאימיילים עם תוספות, לא להריץ יישומים ממקור מפוקפק ולא לתת סיסמאות אישיות לאף אחד.
לכל אנטי וירוס ימצאו מעקף, ומפתחי האנטי וירוס ייסגרו אותו וחוזר חלילה. אני אישית לא אוהב להשתמש בהם מכיוון שהם יותר מפריעים ממה שהם עוזרים. הפתרון הכי טוב זה הגיון בריא: להיזהר מאימיילים עם תוספות, לא להריץ יישומים ממקור מפוקפק ולא לתת סיסמאות אישיות לאף אחד.
uzi2
Active member
מה שאני כתבתי...
מה שאני כתבתי, זה ששום אנטיוירוס לא מזהה את כל הוירוסים, ואנטיוירוסים לא תמיד מספיקים להתעדכן מספיק מהר כדי לנכיל את כל הוירוסים, ותמיד יש כאלו שהם לא יזהו. יחד עם זה, למרבית המשתמשים אני אמליץ בחום על התקנת אנטיוירוס והפעלתו ברקע. זה נכון שמי שמבין מספיק יכול להרשות לעצמו שלא להריץ אנטיוירוס ברקע, אבל מרבית האנשים שחושבים שהם מכירים את כל הטריקים שוירוסים משתמשים בהם, לא מכירים אפילו חצי מהטריקים. יש ב- Virus Bulletin רשימה של כל תוכנות האנטיוירוס שמזהות את _כל_ הוירוסים הנפוצים (דגש על זה שהם בודקים רק וירוסים שנחשבים לנפוצים). תוכל לראות את הטבלה כאן: http://www.virusbtn.com/100/vb100sum.html אבל גם אסור להסתמך בלעדית על הטבלה הזאת (שמוציאה את מקאפי לא כל כך טוב), הדעות שלי הן שקיימת תחרות צמודה למדי בין יצרניות האנטיוירוס.
מה שאני כתבתי, זה ששום אנטיוירוס לא מזהה את כל הוירוסים, ואנטיוירוסים לא תמיד מספיקים להתעדכן מספיק מהר כדי לנכיל את כל הוירוסים, ותמיד יש כאלו שהם לא יזהו. יחד עם זה, למרבית המשתמשים אני אמליץ בחום על התקנת אנטיוירוס והפעלתו ברקע. זה נכון שמי שמבין מספיק יכול להרשות לעצמו שלא להריץ אנטיוירוס ברקע, אבל מרבית האנשים שחושבים שהם מכירים את כל הטריקים שוירוסים משתמשים בהם, לא מכירים אפילו חצי מהטריקים. יש ב- Virus Bulletin רשימה של כל תוכנות האנטיוירוס שמזהות את _כל_ הוירוסים הנפוצים (דגש על זה שהם בודקים רק וירוסים שנחשבים לנפוצים). תוכל לראות את הטבלה כאן: http://www.virusbtn.com/100/vb100sum.html אבל גם אסור להסתמך בלעדית על הטבלה הזאת (שמוציאה את מקאפי לא כל כך טוב), הדעות שלי הן שקיימת תחרות צמודה למדי בין יצרניות האנטיוירוס.
Black Snake
New member
אנטי וירוס
לפעמים האנטי וירוס יכול להיות מעצבן - אבל גם יעיל ושימושי, הוא כאן בשביל לעזור לנו לא לשכוח... לפעמים קורים מצבים שנדבקים באיזה וירוס, ולא חייב מאיזה משתמש ICQ או מאי-מייל, פעם הורדתי איזה עדכון מאתר של מייקרוסופט וה"עדכון" שלהם דפק לי ת´מחשב... למזלי היה לי אנטי וירוס ומישהו שהדריך אותי להשתמש בו כדי להחזיר את המחשב, אין כזה דבר להיזהר ולא להיפגע, אי אפשר להמנע מהורדת קבצים מאתרים...או שליחת קבצים מחברים..או מאי-מיילים. לכן צריכים אבטחה למחשב, אבטחה שתמנע מצבים מביכים שהיו יכולים לקרות בעתיד. ולuzi2 - אנטי וירוס אינו מזהה את הוירוס על פי גירסתו בלבד! אתה יודע כמה וירוסים נוצרים מדי שנה בשנה?! הם מזהים גם פעולה ושורת פקודה של הוירוס ומחליטים לבד אם זה וירוס או לא.
לפעמים האנטי וירוס יכול להיות מעצבן - אבל גם יעיל ושימושי, הוא כאן בשביל לעזור לנו לא לשכוח... לפעמים קורים מצבים שנדבקים באיזה וירוס, ולא חייב מאיזה משתמש ICQ או מאי-מייל, פעם הורדתי איזה עדכון מאתר של מייקרוסופט וה"עדכון" שלהם דפק לי ת´מחשב... למזלי היה לי אנטי וירוס ומישהו שהדריך אותי להשתמש בו כדי להחזיר את המחשב, אין כזה דבר להיזהר ולא להיפגע, אי אפשר להמנע מהורדת קבצים מאתרים...או שליחת קבצים מחברים..או מאי-מיילים. לכן צריכים אבטחה למחשב, אבטחה שתמנע מצבים מביכים שהיו יכולים לקרות בעתיד. ולuzi2 - אנטי וירוס אינו מזהה את הוירוס על פי גירסתו בלבד! אתה יודע כמה וירוסים נוצרים מדי שנה בשנה?! הם מזהים גם פעולה ושורת פקודה של הוירוס ומחליטים לבד אם זה וירוס או לא.
uzi2
Active member
לגבי זיהוי היוריסטי.
מה שאתה מדבר עליו (שנקרא זיהוי היוריסטי) עדיין לא מפותח מספיק ולצערי הרבה עדיין מפספס יותר מדי וירוסים. רק לאחרונה נכנסו ממש חברות האנטיוירוס למה שקרוי sandboxing כלומר ממש לעשות אמולציה של הרצת הקוד החשוד בסביבה מוגנת ולראות מה הוא עושה. (esafe עשתה משהו דומה אבל לא בתוכנה ביתית, Sophos נכנסה לזה עכשיו), הבעיה היא שאלו מערכות כבדות ולכן לא ממש יעילות לזיהוי היוריסטי. טריקים קצת יותר ישנים כמו זה שמיושם כבר כמה שנים ב- Invircible זוכים להצלחה די טובה, אבל מכבידים על המחשב, ועובדים רק ב- realtime. לדוגמה, לפני כמה חודשים נשלח אלי עותק של ה- Nimda.E בשלב שעדיין למרבית תוכנות האנטיוירוס לא היה עדכון לגביו. בדקתי עם 4 התוכנות שמתוחזקות אצלי, ורק שתיים מהן זיהו אותו (IPE בזיהוי מדוייק, ו- Mcafee בזיהוי היוריסטי). F-Prot ו- PC-Cillin לא זיהו אותו, למרות שהוא ואריאנט קל של ה- Nimda.A שאותו כל תוכנות האנטיוירוס מזהות. עד היום מבין הוירוסים שטיילו אלי, יותר וירוסים לא זוהו מאשר זוהו בזיהוי היוריסטי, ועל כל זיהוי היוריסטי נכון, היה בממוצע עוד זיהוי היוריסטי שגוי (false positive). ואכן כן, כפי שציינת, כל יום נוצרים לא מעט וירוסים חדשים.
מה שאתה מדבר עליו (שנקרא זיהוי היוריסטי) עדיין לא מפותח מספיק ולצערי הרבה עדיין מפספס יותר מדי וירוסים. רק לאחרונה נכנסו ממש חברות האנטיוירוס למה שקרוי sandboxing כלומר ממש לעשות אמולציה של הרצת הקוד החשוד בסביבה מוגנת ולראות מה הוא עושה. (esafe עשתה משהו דומה אבל לא בתוכנה ביתית, Sophos נכנסה לזה עכשיו), הבעיה היא שאלו מערכות כבדות ולכן לא ממש יעילות לזיהוי היוריסטי. טריקים קצת יותר ישנים כמו זה שמיושם כבר כמה שנים ב- Invircible זוכים להצלחה די טובה, אבל מכבידים על המחשב, ועובדים רק ב- realtime. לדוגמה, לפני כמה חודשים נשלח אלי עותק של ה- Nimda.E בשלב שעדיין למרבית תוכנות האנטיוירוס לא היה עדכון לגביו. בדקתי עם 4 התוכנות שמתוחזקות אצלי, ורק שתיים מהן זיהו אותו (IPE בזיהוי מדוייק, ו- Mcafee בזיהוי היוריסטי). F-Prot ו- PC-Cillin לא זיהו אותו, למרות שהוא ואריאנט קל של ה- Nimda.A שאותו כל תוכנות האנטיוירוס מזהות. עד היום מבין הוירוסים שטיילו אלי, יותר וירוסים לא זוהו מאשר זוהו בזיהוי היוריסטי, ועל כל זיהוי היוריסטי נכון, היה בממוצע עוד זיהוי היוריסטי שגוי (false positive). ואכן כן, כפי שציינת, כל יום נוצרים לא מעט וירוסים חדשים.
Black Snake
New member
שים לב גם ש...
הרבה וירוסים כותבים באותו סיגנון - לכן הדרך הפשוטה זו הדרך של זיהוי היוריסטי, כתבתי סקריפט של ויז´ואל בייסיק וירוס תולעת ונורטון גילה אותו - הוא לא זיהה את הגירסה, אך זיהה את שורות הפקודות והחליט שמדובר בוירוס תולעת - ואכן, היה כתוב שמדובר ב- Worm.
הרבה וירוסים כותבים באותו סיגנון - לכן הדרך הפשוטה זו הדרך של זיהוי היוריסטי, כתבתי סקריפט של ויז´ואל בייסיק וירוס תולעת ונורטון גילה אותו - הוא לא זיהה את הגירסה, אך זיהה את שורות הפקודות והחליט שמדובר בוירוס תולעת - ואכן, היה כתוב שמדובר ב- Worm.
אי אפשר להסתמך על זיהוי קוד
בזמנו התעסקתי קצת בכתיבה של ווירוסים (לא להפצה, רק ללמידה!) ואחד הדברים שהוספתי היה הצפנת קוד. מנגנון ההצפנה היה נוצר באופן אקראי מחדש בכל הדבקה כך שגם אי אפשר היה להתבסס עליו כמפתח ייחודי. הפתרון הכי טוב הינו הגיון בריא. להזכירכם, הווירוס הישראלי (ברח לי השם) האחרון הצליח כ"כ בגלל העובדה הפשוטה שהוא יצא כשומר מסך. אנשים ראו שומר מסך שמישהו מפרסם בפורום, ורצו להוריד אותו. בלי לדעת מי כתב אותו ובלי לבדוק אותו קודם. ישנה תוכנה (VMWare) המדמה סביבת מחשב מלאה. היא יוצרת מערכת מחשב ווירטואלית ומבודדת לחלוטין בתוך המחשב האישי ונותנת אפשרות להריץ יישומים בלי יכולת לפגוע במחשב המארח. נכון שלא לכולם יש גישה אליה (היא לא כ"כ זולה) אבל מי שלא רוצה להרוס את המחשב, שלא יוריד יישומים ממקורות מפוקפקים או שייבדוק קודם מה הוא מוריד. הפתרון הזול השני הינו Norton Ghost, למרות שווירוס עדיין יכול להשחית את המערכת השמורה - אבל זה עדיף על כלום
בזמנו התעסקתי קצת בכתיבה של ווירוסים (לא להפצה, רק ללמידה!) ואחד הדברים שהוספתי היה הצפנת קוד. מנגנון ההצפנה היה נוצר באופן אקראי מחדש בכל הדבקה כך שגם אי אפשר היה להתבסס עליו כמפתח ייחודי. הפתרון הכי טוב הינו הגיון בריא. להזכירכם, הווירוס הישראלי (ברח לי השם) האחרון הצליח כ"כ בגלל העובדה הפשוטה שהוא יצא כשומר מסך. אנשים ראו שומר מסך שמישהו מפרסם בפורום, ורצו להוריד אותו. בלי לדעת מי כתב אותו ובלי לבדוק אותו קודם. ישנה תוכנה (VMWare) המדמה סביבת מחשב מלאה. היא יוצרת מערכת מחשב ווירטואלית ומבודדת לחלוטין בתוך המחשב האישי ונותנת אפשרות להריץ יישומים בלי יכולת לפגוע במחשב המארח. נכון שלא לכולם יש גישה אליה (היא לא כ"כ זולה) אבל מי שלא רוצה להרוס את המחשב, שלא יוריד יישומים ממקורות מפוקפקים או שייבדוק קודם מה הוא מוריד. הפתרון הזול השני הינו Norton Ghost, למרות שווירוס עדיין יכול להשחית את המערכת השמורה - אבל זה עדיף על כלום
uzi2
Active member
ה- sandbox של sophos
ה- sandbox ש- Sophos פיתחו מתיימר להוות סביבה מוגנת שתדמה מחשב כלפי הוירוס. לגבי זיהוי קוד, יש הרבה וירוסים פולימורפים שמצפינים את עצמם ובכל זאת תוכנות האנטיוירוס מזהות אותם. הסיבה היא שהקוד שמריץ את הפיענוח ומפעיל את הוירוס חייב להיות חלק מהחבילה, כי אחרת הוירוס לא יוכל להפעיל את עצמו. דוגמה מפורסמת מאוד זה וירוס ה- Magistr. בכל מקרה, זה נכון שוירוסים מסויימים מזוהים לפעמים רק בצורות מסויימות אבל לא בצורות אחרות. הוירוס שברח לך השם שלו, זה לדעתי ה- Goner.
ה- sandbox ש- Sophos פיתחו מתיימר להוות סביבה מוגנת שתדמה מחשב כלפי הוירוס. לגבי זיהוי קוד, יש הרבה וירוסים פולימורפים שמצפינים את עצמם ובכל זאת תוכנות האנטיוירוס מזהות אותם. הסיבה היא שהקוד שמריץ את הפיענוח ומפעיל את הוירוס חייב להיות חלק מהחבילה, כי אחרת הוירוס לא יוכל להפעיל את עצמו. דוגמה מפורסמת מאוד זה וירוס ה- Magistr. בכל מקרה, זה נכון שוירוסים מסויימים מזוהים לפעמים רק בצורות מסויימות אבל לא בצורות אחרות. הוירוס שברח לך השם שלו, זה לדעתי ה- Goner.
זה לאו דווקא נכון
כמו שאמרתי לך, הקוד שאני השתמשתי (הרעיון נלקח ממקור אחר והורחב על ידי) היה לשנות לא רק את מפתח ההצפנה בכל פעם (וכך האלגוריתם יישאר זהה) אלא גם את האלגוריתם עצמו. כך שבכל הפצה, משתנה גם הקוד שאחראי של שחרור ההצפנה. בבדיקות שעשיתי האנטיוירוסים היחידים שהצליחו לגלות משהו גילו רק שהשתנה לי קובץ מסויים (שהודבק) אבל לא הצליחו לזהות חתימה ויראלית. וכידוע, יש גם וירוסים שיכולים לתחמן מערכות שבודקות אמינות של קבצים (תאריך, גודל וחתימה). רק רציתי להראות שלא ניתן לסמוך על קוד משותף, ובבדיקה שעשיתי הוא אכן לא זוהה.
כמו שאמרתי לך, הקוד שאני השתמשתי (הרעיון נלקח ממקור אחר והורחב על ידי) היה לשנות לא רק את מפתח ההצפנה בכל פעם (וכך האלגוריתם יישאר זהה) אלא גם את האלגוריתם עצמו. כך שבכל הפצה, משתנה גם הקוד שאחראי של שחרור ההצפנה. בבדיקות שעשיתי האנטיוירוסים היחידים שהצליחו לגלות משהו גילו רק שהשתנה לי קובץ מסויים (שהודבק) אבל לא הצליחו לזהות חתימה ויראלית. וכידוע, יש גם וירוסים שיכולים לתחמן מערכות שבודקות אמינות של קבצים (תאריך, גודל וחתימה). רק רציתי להראות שלא ניתן לסמוך על קוד משותף, ובבדיקה שעשיתי הוא אכן לא זוהה.
uzi2
Active member
מה בדיוק בדקת?
תראה, אם רק בדקת בעזרת כמה תוכנות אנטיוירוס, אז מה שעשית רק מוכיח את הטענה שלי שהזיהוי ההיוריסטי בתוכנות האנטיוירוס עדיין לא ברמה גבוהה. אין בכך משום הוכחה לטענתך שאין אפשרות לזהות זיהוי מדוייק של הוירוס, אלא אם אתה יודע שחברות האנטיוירוס קיבלו עותק וטוענות שניסו לעשות לו אנליזה (רצוי גם שיהיה מדובר בכמה חברות שונות כי חברות האנטיוירוס לפעמים מפשלות). לגבי תאריך - גודל - חתימה, בעבר, בתקופת וירוסי ה- MSDOS היה קל לוירוסים להיות stealth, כלומר נחבאים ע"י זה שכאשר רצו ברקע, הם עשו hook לכל הקריאות לשטח הזכרון או ההארד-דיסק שבו הם היו כתובים, ואז הם היו מזינים את התוכנה הקוראת בנתונים שגויים. כך תוכנות אנטיוירוס לא יכלו לזהות את הוירוסים, באם הוירוסים הופעלו לפני תוכנות האנטיוירוס. כיום זה הרבה יותר קשה, כי מערכת ההפעלה לא מריצה קודים באופן טורי, וזה קשה עד בלתי אפשרי לייצר קוד שממש מטשטש את העקיבות שלו (וממילא זה יהיה חייב לרוץ כדרייבר של כמה פונקציות). למעשה, עדיין לא דווח ברבים קיום של קוד ויראלי כזה. תוכנה שמשנה את האלגוריתם שלה באופן אוטומטי, לא יכולה ממש להמציא יש מאיין אלגוריתמים חדשים. היא יכולה לכל היותר להכיל אלגוריתם שמשתמש באיזה קוד אקראי לשנות פרמטרים שקשורים לאופן ההצפנה. כלומר, עדיין נשאר משהו יציב שיאפשר לחברות האנטיוירוס להבין את אופן שינוי הקוד ולהתאים לזה זיהוי.
תראה, אם רק בדקת בעזרת כמה תוכנות אנטיוירוס, אז מה שעשית רק מוכיח את הטענה שלי שהזיהוי ההיוריסטי בתוכנות האנטיוירוס עדיין לא ברמה גבוהה. אין בכך משום הוכחה לטענתך שאין אפשרות לזהות זיהוי מדוייק של הוירוס, אלא אם אתה יודע שחברות האנטיוירוס קיבלו עותק וטוענות שניסו לעשות לו אנליזה (רצוי גם שיהיה מדובר בכמה חברות שונות כי חברות האנטיוירוס לפעמים מפשלות). לגבי תאריך - גודל - חתימה, בעבר, בתקופת וירוסי ה- MSDOS היה קל לוירוסים להיות stealth, כלומר נחבאים ע"י זה שכאשר רצו ברקע, הם עשו hook לכל הקריאות לשטח הזכרון או ההארד-דיסק שבו הם היו כתובים, ואז הם היו מזינים את התוכנה הקוראת בנתונים שגויים. כך תוכנות אנטיוירוס לא יכלו לזהות את הוירוסים, באם הוירוסים הופעלו לפני תוכנות האנטיוירוס. כיום זה הרבה יותר קשה, כי מערכת ההפעלה לא מריצה קודים באופן טורי, וזה קשה עד בלתי אפשרי לייצר קוד שממש מטשטש את העקיבות שלו (וממילא זה יהיה חייב לרוץ כדרייבר של כמה פונקציות). למעשה, עדיין לא דווח ברבים קיום של קוד ויראלי כזה. תוכנה שמשנה את האלגוריתם שלה באופן אוטומטי, לא יכולה ממש להמציא יש מאיין אלגוריתמים חדשים. היא יכולה לכל היותר להכיל אלגוריתם שמשתמש באיזה קוד אקראי לשנות פרמטרים שקשורים לאופן ההצפנה. כלומר, עדיין נשאר משהו יציב שיאפשר לחברות האנטיוירוס להבין את אופן שינוי הקוד ולהתאים לזה זיהוי.
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.