Le regole di rilevamento del malware sono rilevabili pubblicamente?

Naviga le tue risposte
6

Non sono sicuro di come siano i set di regole di rilevamento malware pubblico? Con un "set di regole" intendo le regole, solitamente scritte in Yara, utilizzate dai motori di rilevamento malware per determinare se un file o sequenza di memoria è potenzialmente malware.

So che i diversi rivelatori usano sicuramente set di regole differenti, perché se usi Total virus o un servizio simile, puoi vedere che per un dato binario alcuni dei fornitori contrassegneranno il file binario e altri no. Mi aspetterei che il set di regole di un venditore sia "salsa segreta" che non pubblicherebbe pubblicamente.

Tuttavia, non riesco a vedere come sarebbe stato segreto. Ad esempio, ho Symantec Endpoint in esecuzione sul mio desktop, quindi in teoria ha un file da qualche parte che sta leggendo che contiene il set di regole. Pertanto, ottenere le regole dovrebbe essere semplice come trovare quel file. Naturalmente, c'è la possibilità che il set di regole sul mio desktop sia diverso da quello che Symantec ha sui suoi server. Quindi, sul desktop, potrei semplicemente ricevere la "vecchia" roba che tutti conoscono, e tutte le regole veramente preziose sono solo sui loro server e quindi inaccessibili.

Quindi, queste regole sono considerate "segrete" o sono disponibili pubblicamente o da qualche parte nel mezzo?

    
posta Tyler Durden 04.09.2014 - 01:10
fonte

2 risposte

1

Trovare le firme è generalmente facile. Solitamente sono identificati come tali e i file scaricati durante l'aggiornamento delle firme AV contengono ovviamente le firme.

Ora, ottenere un file binario che in qualche modo viene usato per rilevare, non è molto utile se non si conosce anche come è strutturato (la "lingua" che usano). In genere non documentato.

Ti consiglio di dare un'occhiata a ClamAV . Questo è un antivirus open source, quindi hai sia le regole , sia il codice che lo usa. Ben documentato .

Infine, anche se hai una regola e capisci significa che "i byte 34 28 50 5e 29 37 43 43 29 37 7d 24 45 49 43 41 52 sono maligni alla posizione 0x10 di un file", che non incorpora la conoscenza che sta dietro trattandolo come tale. Fa parte di una routine di infezione? Un packer? Un'istruzione che tenta di rilevare le VM?

    
risposta data 07.01.2015 - 21:31
fonte
-2

Penso davvero che il database delle firme (contenente le firme malware e i domini e domini in blacklist) che tutti gli antivirus hanno sul dispositivo su cui è stato installato il software, ma questo non è un grosso problema dato che la maggior parte di essi ha le minacce SAME ma con diverse identificazioni e nomi e metodi di rimozione (dipende da come l'hanno fatto nei loro laboratori) {letteralmente ingannano gli uni dagli altri}

MA IL GRANDE AFFARE riguarda le tecnologie AUTO-PROTECT e Sandboxing e, naturalmente, le funzioni di RILEVAZIONE INTRUSIONE e TEMPO REALE e PUNTO FINALE, FIREWALL e ANTI-SFRUTTAMENTO. Quelli citati sono tutti codici privati che hanno davvero richiesto molto lavoro. Questi sono già implementati algoritmi e soglie e le funzioni di test fatte durante la programmazione del software stesso tendono ad aggiornarle una volta ogni tanto. I precedenti menzionati (che sono database di firme e siti Web) sono d'altra parte aggiornati quotidianamente con l'identificazione di nuove minacce ogni giorno.

Quindi, in pratica, puoi trovare il database sul tuo computer con un po 'di scavo ... Penso che tu possa ottenere quella lista (fresca) da qualche parte su internet o darknet ... non ricordo il suo nome .. ma sono certo che è lì da qualche parte.

In ogni caso è inutile, a meno che non sia necessario accertarsi che i codici non siano identificati come dannosi O stai pensando di costruire il tuo AV.

    
risposta data 07.01.2015 - 20:48
fonte

Leggi altre domande sui tag

Dimensioni buffer limitate per shellcode su macchine a 64 bit Devo mantenere segreto il token NTLM nell'intestazione dell'autorizzazione HTTP?