دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[MrGee]

شما مطمئن هستی که این فایل ویروسه؟

Malwarebytes' Anti-Malware که چیزی پیدا نکرد
وقتی که هم اجراش کردم این ارور رو داد

این هم نتایج VT

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[AMIR.KIK]

شما مطمئن هستی که این فایل ویروسه؟

Malwarebytes' Anti-Malware که چیزی پیدا نکرد
وقتی که هم اجراش کردم این ارور رو داد

این هم نتایج VT

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موقع اجرا کردن فایل و عکس العمل نورتون

[MrGee]

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پس:123

[AMIR.KIK]

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پس:123

[AMIR.KIK]

سلام یه نمونه
پسورد:123

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[*Batman*]

سلام


* این عکسو اینجا قرار دادم به این دلیل که همه چیز تشخیص نیست و هیچوقت هم نمیتونه باشه دلایلش هم بارها صحبت شده . . .. چه با دیتابیس چه با هوش مصنوعی و چه با کلاد و چه با رفتار شناسی....سوال اینه که اگر یک مخرب با همه این تکنولوژی های تشخیص، شناخته نشه> اونوقت میتونه یک تکنولوژی دیگری هم وجود داشته باشه که بتونه جلوی خرابکاری ویروسها را بگیره. و فلسفه سندباکس کمودو همینه، و برای همین کمودو تکنولوژی
Auto Sandbox Technology را در محصول خودش قرار داده. یک سیستم پیشگیری از آلودگی قدرتمند. . .

VT:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کومودو محیط شبیه سازی خودش رو برای آنالیز مخرب داره.
من هم توصیه میکنم از سندباکس هایی که تو محصولات امنیتی وجود داره استفاده بشه. (چرا؟)
چون برای شناسایی ویروسهای پیچیده و تکاملی (متامورفیک و پلی مورفیک) موثر هستن.
چرا که در محیط مجازی فایلها و منابع مجازی را در اختیار مخرب قرار میدن تا خودش رو اجرا کنه و هر کاری خواست انجام بده!
(فعلا به محدودیتها کاری نداریم)
این توالی ادامه پیدا میکنه تا ویروس کدهای اصلی خودش رو نشون بده.اینجا با داشتن یه امضای ساده میشه ویروس رو شناسایی کرد.
(آیا سند باکس عادی دیتابیس یا متدهای دیگری برای شناسایی دارد؟)
البته آنتی ویروسها شبیه سازهای خودشون رو دارن و ممکنه ما اونا رو در قالب سندباکس نبینیم.
در واقع همه روشهای اکتشافی هستند ولی چون مفاهیمی نزدیک به هم دارند اشتباه گرفته میشوند.
موفق باشید.

[MrGee]

سلام یه نمونه
پسورد:123

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Malwarebytes' Anti-Malware
باز هم چیزی پیدا نکرد

نتیجه از VirusTotal

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[AMIR.KIK]

یه نمونه
پسورد:123

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[jadaa]

یه نمونه
پسورد:123

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اولین پستم رو اینجا میزنم
امیسافت شناسایی نکرد

[Jadda]

کومودو محیط شبیه سازی خودش رو برای آنالیز مخرب داره.
1-من هم توصیه میکنم از سندباکس هایی که تو محصولات امنیتی وجود داره استفاده بشه. (چرا؟)
چون برای شناسایی ویروسهای پیچیده و تکاملی (متامورفیک و پلی مورفیک) موثر هستن.
چرا که در محیط مجازی فایلها و منابع مجازی را در اختیار مخرب قرار میدن تا خودش رو اجرا کنه و هر کاری خواست انجام بده!
(فعلا به محدودیتها کاری نداریم)
این توالی ادامه پیدا میکنه تا ویروس کدهای اصلی خودش رو نشون بده.اینجا با داشتن یه امضای ساده میشه ویروس رو شناسایی کرد.
(آیا سند باکس عادی دیتابیس یا متدهای دیگری برای شناسایی دارد؟)
2-البته آنتی ویروسها شبیه سازهای خودشون رو دارن و ممکنه ما اونا رو در قالب سندباکس نبینیم.
در واقع همه روشهای اکتشافی هستند ولی چون مفاهیمی نزدیک به هم دارند اشتباه گرفته میشوند.
موفق باشید.

سلام دوست عزیز

1- موافقم....

چون احتمالاً قابلیتهای بیشتری دارند> به این دلیل که علاوه بر محیط ایزوله شد> دارای تکنولوژی تشخیص نیز میباشند،( یا حداقل باید دارا باشند)

در مورد اتوسندباکس کمورد علاوه بر سیستم پشگیری قطعاً دارای سیستم تشخیص نیز هست. هر چند قبلاً هم ذکر شد ولی یکبار دیگر با توجه به موضوع مورد گفتگو، نمونه هایی از وجود سیستم تشخیص کمودو برای فایلهایی که وارد سندباکس میشوند را بررسی میکنیم:

فایلهای اجرا شده در سندباکس همهگی مخربند و از طریق دیتابیس مستقر بر سیستم قابل شناسایی نیستند ولی پس از اجرا در سندباکس کمودو (فعلاً کاری به نوع و عملکرد و میزان محدودیت نداریم) توسط سیستم تشخیص که قطعاً سیستم تشخیص اکتشافی است، کشف میشوند.

عکسها( نکنه: تمام این تستها در حالت آفلاین است):







========

برای آخرین مثال> دوست عزیز جناب amirbadi در همین صفحه و پست 3691 یک مخرب قرار داد که کمودو از طریق دیتابیس نمیشناسه ولی بعد از اجرا وارد سندباکس میشه و بعد از یک بررسی آنلاین (از قابلیتهای سندباکس) کشف میشه:



جالبه که الان دارم این پست را میدم همچنان از طریق دیتابیس نمیشناسه!!!



========

2- موافقم و مخالف

موافق برای اینکه> البته همه آنتی ویروسها این قابلیت کشف اکتشافی را دارند( کاری به استثناعات و ورژنهای رایگان برخی آنتی ویروسها نداریم) که نرخ تشخیص را بالاتر میبرند.....

مخالف برای اینکه> در پست قبلیم بحث من حول این موضوع بود که> اگر یک مخربی با وجود همه این لایه ها و تکنولوژی های تشخیص قابل شناسایی نباشه، اونوقت میتونه تکنولوژی ای وجود داشته باشه که جلوی خرابکاری مخربها را بگیره ( کاری به اسم و میزان قدرتشون فعلاً نداریم، کمااینکه حتی این تکنولوژیها میتونن اینجا تست بشن)

پس> همه فکر کنیم به این موضوع که> به علت اینکه با وجود سیستمهای پیشرفته تشخیص در آنتی ویروسها اما هیچوقت نرخ تشخیص 100% نبوده، نیست، و نخواهد بود؛ بنابراین اگر مخربی در سیستم ما اجرا شود و توسط آنتی ویروس شناسایی نشود، آیا باید آلوده شویم؟؟

در کمودو اتوسندباکس(در کسپر با یک اسم دیگر و ...) این وظیفه را انجام میده، وقتی فایل وارد سندباکس میشه و اگر شناسایی هم نشه، اونقدر اونجا میمونه تا صلاحیت بیرون آمدن از قفس سندباکس را برای کاربر محرز شود....
برای همین بنده تعمداً در پست قبلیم Auto را قرمز نوشتم، چون شاید یک مخری اتو، ران شود....... سندباکسهای manual تاثیری ندارند.

===
این سوالیه که الان من از دوستانم در دنیای واقعی میپرسم: دوست داری توی یک فلش ویروسی بهت بدم که آنتی ویروست نشناسه و ویروس هم اوتوران بشه.... ؟؟(خیلیهاشون میگن> نه، ویروسی میشیم...)


موفق باشید