دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

***Batman*** · 24-08-2011, 22:39

اینبار من باید بگم نشد! شما میگید در حالت محدود اجرا شد و :

بله در حالت محدود اجرا شد و My Documents پرید.فایلهای روی دسکتاپ هم به همین ترتیب.
حتی اگه یک فایل هم پاک بشه حرفهای شما نقض شده.

دوست عزیز من حرفم اینه که اگر محدود اجرا نمیشد و آزاد اجرا میشید این فایلها هم پاک میشدند!(اینجا میشه نیمه پر لیوان، که شما نمیبینید)

اگر نیمه پر لیوان رو نمیدیدم که نمی گفتم فایلهای سیستمی آسیبی ندیدن!

این کاربر نورتون داشته:

این ویروس Zero-Day بود. هیچ آنتی ویروسی شناسایی نکرد(به جز مکافی) .نورتون هم از این قاعده مستثنا نیست.

از برسی که کردید سپاسگزارم، ولی نکته اینجا نیست. اگر متوجه نکته میشدید، متوجه این موضوع هم میشدید که در حالت محدود با دابل کلیک هم میشه ویروس را اجرا کرد و فایلها پاک نشن

این حرف شما مبهمه.من نکته ای توش ندیدم.
برای بار N ام عرض میکنم که My Documents محو شد.
نمیدونم کجاش مفهوم نیست؟
اتفاقا بسیار مهمه که سندباکس در حالت اتوماتیک رفتاری متفاوت نسبت به حالت دستی نشون میده.

1-برای من خیلی وقته حل شده است...
2-بهترین جوابها را هم خیلی وقته پیدا کردم! شما هم میتونید بگردید و پیدا کنید...

خدا رو شکر.
بگردید و پیدا کنید نشد ! باید تحلیل کنیم و به هم یاد بدیم.
شما که جواب را خیلی وقته پیدا کردید باید جریان AutoSandbox رو هم قبل از اینکه من بگم مطرح میکردید.

1-من این جدالو قبول ندارم؛ اگر آنتی ویروستون این نمونه را بشناسه، نمونه های مشابهی یافت میشه که نمیشناسه، اونوقت چی؟ پس مورد شناخت رد میشه.

Specific Detection .
روتینهایی برای تشخیص گروه یا خانواده ای خاص از ویروسها .
مثلا اگر ویروس P30Killer شناسایی شد، ویروسهای P30KillerA ، P30KillerB و ... هم شناخته بشن.

2-ولی من بحثم سندباکس نیست! من بحثم نحو دفاع یک سویت امنیتی با این مخرب و موارد مشابه است، حالا چه اون سوییت سندباکس داشته باشه و چه نداشته باشه.آنتی ویروس شما( هرکی) چیکار میکنه، کمودو میتونه جلوی خرابکاری را بگیره، به قول شما در حالت Limit حداقل میتونه جلوی پاک شدن فایلهای سیستمی را بگیره!، موارد سختگیرانه ترش بماند

نظر شما محترمه.
اما من این ویروس رو برای تست سندباکس نوشتم.با علم به اینکه آنتی ویروسم شانسی برای مقابله نداره.

جواب: وقتی فایل را اجرا کرم و رفت و سندباکس و وقتی لاگهای وحشتناکی که در دفنس پلاس ایجاد کرده را ببینم......... لاگها به اندازه کافی گویاست، ببینیم:

بسیار خوب. من جوابم رو گرفتم

من یک سوال دارم> شما به این میگید یک کرک سالم؟؟

با دید استاندارد خیر. این کرک و همه کرکها ناسالم هستن.
امروزه از روش مهندسی اجتماعی برای فریب کاربر استفاده میشه.
خیلی راحت میشه این ویروس رو با ظاهری شبیه به کرک یه برنامه مخصوص رواج داد.

==========================
==============================
===================================
شما در جایی میگید مورد شناخت رد میشه.پس برنامه میره برای HIPS و سندباکس.(منم موافقم)
جایی دیگر گفتید بحث من سندباکس نیست.
به طور کلی منظور من هم به شما نزدیکه.میگوییم اگر آنتی ویروس نشناخت میدیمش به سندباکس.
حالا چکار کنیم که سندباکس ما امن باشه.>>از حالت سختگیرانه استفاده میکنیم.

خوب اینجا(در این تاپیک) کاملا مشخصه که ما با مخربها سروکار داریم.
یعنی با علم به اینکه فلان فایل مخرب است آن را اجرا میکنیم.
بدیهی هست که فایلها رو تحت تدابیر شدید امنیتی اجرا میکنیم.
حالا اگه تو این محیط نباشم چی میشه؟
به همین خاطر اون سوال رو مطرح کردم و از مطرح کردنش هم پشیمان شدم.

ما اومدیم گفتیم حداقل تو تست ویروسها از حالتهای سختگیرانه تر استفاده بشه.مثل Ristricted و Untrusted .
خود کومودو به طور پیش فرض حالت Partialy Limited رو در نظر گرفته.مطمئنا توسعه گران این محصول میدونن تعداد فایلهای سالم خیلی بیشتر از فایلهای ناسالمه و کلا صلاح رو بر این دیدن که حالت Untrusted پیش فرض نباشه.
حالا اگر از بد روزگار یه فایلی مثل همین F01 خودمون اومد چندتا فایل رو هم پاک کرد مقصر کومودو نیست.
چون همه معتقدیم امنیت 100 درصد وجود نداره.حتی اگر شما استاد مسائل امنیتی باشید.
با این حال به جرات میشه گفت کومودو تنها محصولی هست که AutoSandbox داره و میشه با خیال راحت تر یک فایل اجرایی رو اجرا کرد.
با AutoSandbox در بدترین حالت M فایل از N فایل از دست میره با تضمین اینکه سیستم عامل آسیب جدی نمی بینه.

=======================
========================
===========================
در آخر دوستانی که در مورد سندباکس کومودو در حالت Limited شک و شبهه دارن :
فایل ویروس رو دریافت کنید و تنظیمات سندباکس رو در حالت Limited قرار بدید.
سپس:
1-ویروس رو اجرا کنید و تغییرات رو بررسی کنید.>>AutoSandbox
2-روی فایل ویروس کلیک راست کنید و Run in Sandbox رو انتخاب کرده و تغییرات رو بررسی کنید.

فایل پسورد نداره و ظرف 24 ساعت آینده حذف میشه:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

===========================================

================================
=====================================
=========================================

محتوای مخفی: سخنی با دوستان

نوشته شده توسط jax2 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
دوست عزیز
1-مشکل اینه که چرا از سند باکس عبور کرده
2-اگه همون تعداد کمی فایلی که پاک شده یه فایل سیستمس بود چی؟ باز هم ویندوز می پرید

با سلام.
1- ویروس از سندباکس در حالت Limited تا حدی عبور کرد.
2-فایلهای سیستمی که در شاخه Windows هستن پاک نمیشن.چون اجازه دسترسی صادر نمیشه.
اما تو قسمتهای دیگه مثل Desktop یا MyDocuments پاکسازی میشن.
من دیشب که MyDocuments رو بررسی میکردم دیدم یه دفعه محو شد و دیگه باز هم نشد.
البته طبق گفته جناب Jadda سندباکس در درجه Limited به خوبی کار خودش رو انجام داده.
برای اینکه سخت گیری بیشتری اعمال کنیم باید از حالتهای Restricted یا Untrusted استفاده کنیم.

**newsoft** · 25-08-2011, 08:32

با سلام
فایل جالبی بود.بعد از بستن دوباره خودشو تولید میکنه.
من با اوت پست تست زدم.خوشبختانه فایلی پاک نشد.
کلا برنامه ها یا ویروسهایی که مستقیما فایل پاک میکنن از دست بیشتر سیستمهای انتی ویروس و اینترنت سکیوریتی در میرن.شاید به خاطر مشابهتیه که با برنامه های معمولی دارن.
تو تست این موارد بهتره دوستان قبلا درایوهای دیگشون رو ببندن یا رمز نگاری کنن بعد فایل رو اجرا کنن.
با تشکر از همه ی دوستان

**Dr Hannibal** · 25-08-2011, 15:46

نوشته شده توسط jax2 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

کسپر 5مورد شناخت
از 6 مورد بقیه
3 مورد امضای دیجیتال دارند و با اجرا به گروه trusted وارد شدند

فایل ietip رو اجرا کردم کسپر سوال کرد بلاک کردم
فایل videos17 رو هم اجرا کردم کسپر بلاک کرد

..................

**jax2** · 25-08-2011, 18:29

نوشته شده توسط drhaniball [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

..................

دکتر عزیز
من اونکار رو انجام میدم خودم و با تنظیمات آشنایی کامل دارم
ایندفعه خواستم ببینم فعالیت مخرب رو تشخیص میده یا نه

با تشکر

***Batman*** · 25-08-2011, 19:04

نوشته شده توسط newsoft [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

با سلام
فایل جالبی بود.بعد از بستن دوباره خودشو تولید میکنه.
من با اوت پست تست زدم.خوشبختانه فایلی پاک نشد.
کلا برنامه ها یا ویروسهایی که مستقیما فایل پاک میکنن از دست بیشتر سیستمهای انتی ویروس و اینترنت سکیوریتی در میرن.شاید به خاطر مشابهتیه که با برنامه های معمولی دارن.
تو تست این موارد بهتره دوستان قبلا درایوهای دیگشون رو ببندن یا رمز نگاری کنن بعد فایل رو اجرا کنن.
با تشکر از همه ی دوستان

سلام
ممنون که Outpost رو هم تست کردید.
منم فکر میکنم چون دستور delete توسط خیلی از برنامه ها استفاده میشه اکثر آنتی ویروسها کاری باهاش ندارن.
الان این فایل توسط کسپرسکی و کومودو شناسایی میشه.
Outpost چطور باهاش برخورد کرد؟
شما خودتون بلاکش کردید یا رفت تو سندباکس؟

**newsoft** · 25-08-2011, 20:11

نوشته شده توسط *Batman* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
ممنون که Outpost رو هم تست کردید.
منم فکر میکنم چون دستور delete توسط خیلی از برنامه ها استفاده میشه اکثر آنتی ویروسها کاری باهاش ندارن.
الان این فایل توسط کسپرسکی و کومودو شناسایی میشه.
Outpost چطور باهاش برخورد کرد؟
شما خودتون بلاکش کردید یا رفت تو سندباکس؟

با سلام
اول از قسمت file & folder درایوهای دیگه رو مسدود کردم تا وارد اونها نشه.(متاسفانه بیشتر برنامه ها و مطالب حیاتی بنده توی همین سیستم هست و نمیتونم ریسک کنم.)
بعد از اجرا بصورت مستقیم اجرا شد و اوت پست هشدار زرد برای دسترسی این برنامه به cmd رو نشون داد که با بلوک کردن یا ترمینیت فایل بسته نمیشد.تنها فکر کنم عملیات اصلی فایل بلاک شدن و خود فایل تا تعداد زیادی تکثیر شد.
ظمن اینکه با بستن یا قرنطینه فایل دوباره خودش رو درست میکرد .بعد از اتمام کامل اجرا سیستم حالت عادی داشت ولی برنامه هنوز در حالت اجرایی بود و کاری انجام نمیداد که بعد از راستارت سیستم به حالت اولیه برگشت.
البته یک قسمت بنام سند باکس توی اوت پست هست ولی نه در حد سند باکس کومودو .ولی دقیقا عملکردش مشخص نیست .

MfgName = "Agnitum, Ltd."
ServiceName = "SandBox"
ServiceDesc = "Agnitum Host Protection Component"
ImageName = "SandBox"
Registry = "System\CurrentControlSet\Services\SandBox"
Disk1 = "SandBox Source Media"

با اجرای دوباره و زدن Allow اینبار تنها فایلهایی رو که داخل پوشه ی حاوی f10.exe بود تونست پاک کنه و بقیه قسمتها سالم بودن که دوباره با راستارت ، سیستم حالت عادی پیدا کرد.

**milad_gta** · 25-08-2011, 21:42

11 مورد آخری : اوست 8 مورد در اسکن ، اینجاست که میگن اعتماد نکن

**~~AMIR.KIK~~** · 26-08-2011, 12:48

سلام 5نمونه مخرب جدید
پسورد:123

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

**jolan57** · 26-08-2011, 13:17

نوشته شده توسط amirbadi [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام 5نمونه مخرب جدید
پسورد:123

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

آنتی ویروس کمودو 3 مورد

یک مورد هم فایروال هنگام اتصال به اینترنت نسبت به مشکوک بودن اون پیغام داد

این هم باقی موند

comodo internet security 5.8 beta

**milad_gta** · 26-08-2011, 17:55

اوست دو مورد با اسکن ، دارم پشیمون میشم کم کم

اون 11 تا ویروس قبلیه هم یک بلایی فکر کنم سرم آوردن ! مطمئن شدم میگم ! تا صبح داشتم سیستم رو درست میکردم

نام تاپيک: دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

اختيارات تاپيک

12 کاربر از Batman بخاطر این مطلب مفید تشکر کرده اند

8 کاربر از newsoft بخاطر این مطلب مفید تشکر کرده اند

2 کاربر از Dr Hannibal بخاطر این مطلب مفید تشکر کرده اند

2 کاربر از jax2 بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از Batman بخاطر این مطلب مفید تشکر کرده اند

2 کاربر از newsoft بخاطر این مطلب مفید تشکر کرده اند

2 کاربر از milad_gta بخاطر این مطلب مفید تشکر کرده اند

7 کاربر از AMIR.KIK بخاطر این مطلب مفید تشکر کرده اند

12 کاربر از jolan57 بخاطر این مطلب مفید تشکر کرده اند

7 کاربر از milad_gta بخاطر این مطلب مفید تشکر کرده اند

Thread Information

Users Browsing this Thread

User Tag List

برچسب های این موضوع

قوانين ايجاد تاپيک در انجمن