Ko je ovde lud, a ko blesav...

2

Ko je ovde lud, a ko blesav...

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Ajde jos jednom da obnovimo lekciju, posto vidim da ne mozete da razgranicite neke stvari:

Arhive su:
TAR

Arhive sa kompresijom:
GZip, Zip, Rar, Arj, Zoo, Ha, 7z, Uharc, Arc, Lhz, bz2...

Pakeri su:
UPX, ASPack, Fsg i jos gomila koja postoji na listi gore u clanku

Neku vrstu pakera/arhivera predstavljaju i instaleri za programe:
NSIS, Inno Setup, Wise installer, MSI Installer...

Osim toga, postoje jos i druge vrste 'koverti' ili konstruktora 'koverti':
razni dropperi, binderi, joineri...

Vecina AV programa manje-vise lepo podrzava rad sa Arhivama i Arhivama sa kompresijom.
Problem su pakeri, instaleri, i zadnja grupa.

Veci deo clanka se odnosi na pakere i zadnju grupu. Zadnja grupa je najveci problem, posto u vecini slucajeva jedan dropper recimo, bude iskoriscen samo za distribuciju jednog trojanca, tj. ne bude masovno koriscen.
Jasno je da ce neka AV kompanija pre da ugradi podrsku za skeniranje Arhiva (sa kompresijom) neko podrsku za tamo neki dropper koji ima 0.01% ucesca na trzistu.
Dobar deo clanka se odnosi na genericku detekciju droppera i njima slicnih, bez da dropper prodje neku analizu u laboratoriji.

@Vladimir_Z
Nadam se da sada mozes da uvidis gresku u tvom pitanju.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 20 Feb 2005
  • Poruke: 4505
  • Gde živiš: planeta Zemlja

@booby
znaci ti nama u stvari govoris da danas jedan od jako zasupljenih packera biva jako rekto otkrivan (mislim na NSIS i Inno Setup) tj njegov sadrzaj?



offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Inno ide nekako, tj. vec neko vreme ga vise AV programa mogu rasturiti da bi ga skenirali.
Sto se tice NSIS-a, do skora je KAV imao ekskluzivnu mogucnost da ga 'rasturi na atome' da bi ga skenirao.
Pre neki mesec je jedan Rus napravio program za 'rasturanje' instalera koji podrzava i NSIS, ali ne funkcionise bas uvek.
Prikazuje sadrzaj svih NSIS streamova, ali dobar deo ne moze da raspakuje.
Ja sam uspeo da njime otpakujem desetak startijih NSIS arhiva, ali mi je zato na tri arhive blokirao Windows.

Iz ovog razloga, NSIS se dosta koristi za rasturanje Adwarea na netu.
Na p2p puno puta mozes da nadjes spot/pesmu/film sa EXE ekstenzijom.
Vecina njih su NSIS instaleri koji ce da ti raspakuju sadrzaj tek ako pristanes da ti instaliraju adware.

Ja sam moj Total Commander toliko nacickao pluginovima, da vecine instalera otvaram kao da su ZIP arhive, i po pravilu uvek prvo rasturim fajl pre nego sto ga instaliram (navika).
FAR je mozda napredniji od TC-a po ovom pitanju, ali mi se ne svidja interfejs.

offline
  • Pridružio: 10 Feb 2005
  • Poruke: 3549

Nije greska u pitanju, vec sam "permutovao" u kucanju.
Ajde sad ponovo, dali postoji neki AV koji bi,recimo, u 70% slucaja uspeo da se izbori sa pakerima.

offline
  • Pridružio: 11 Sep 2005
  • Poruke: 1282
  • Gde živiš: Pa gde i do sada

Vladimir_Z ::Nije greska u pitanju, vec sam "permutovao" u kucanju.
Ajde sad ponovo, dali postoji neki AV koji bi,recimo, u 70% slucaja uspeo da se izbori sa pakerima.


Zaista neznam dali si shvatio post od bobby-a dva puta je napisao u cemu je problem
Vecina AV programa manje-vise lepo podrzava rad sa Arhivama i Arhivama sa kompresijom.
Problem su pakeri, instaleri, i zadnja grupa.
i tu ti lezi ceo odgovor Exclamation

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

@Vladimir_z
Ima AV programa koji se lepo snalaze sa pakerima i sa instalerima. Neki lepo mogu da izadju na kraj sa packerima pomocu heuristike, cak iako ne poznaju packer. Pogledaj nas AV test za malo podataka o tome.

Jedini veci problem koji je prisutan za sve AV programe su dropperi.

Ko je trenutno na forumu
 

Ukupno su 356 korisnika na forumu :: 6 registrovanih, 1 sakriven i 349 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 19:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: DM1994, Ehinacea, lelemud, Miskohd, versus, vladaa012