نتیجه اسکن با KASPERSKYنوشته شده توسط Jadda [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به ظاهر یکی از فایل ها سالم هست
نتیجه اسکن با KASPERSKYنوشته شده توسط Jadda [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به ظاهر یکی از فایل ها سالم هست
یادمه همین بحث را بایکی دوستان داشتیم...نظر من مخالف نظر شماستنوشته شده توسط pcsoft [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مخرب وقتی ران بشه و در محیط مجازی باشه و بشناسه که در یک محیط بسته و مجازی قرار داره که بدور از سیستم اصلی هست ، یا اصلا اجرا نمیشه یا اینکه اگر هم اجرا بشود و بعد از فهمیدن در محیط مجازی ، خودشون را ترمینیت میکنند !
گاهی وقتا شده که مخرب را در سند باکس اجرا میکنید مثلا کسپر یا کومودو یا سندباکسیس ، و تا مخرب را اجرا میکنید یهو میبینید مخرب غیر فعال شده / اینجا مخرب خودش را ترمینیت میکنه.
البته بستگی به محیط مجازی که مخرب در ان اجرا میشه هم هست که برای اجرا کردن یک فایل چه محدودیت هایی را به صورت پیش فرض در نظر گرفته باشه !
اطلاعات من در همین حد هست / کافی نبود / شرمنده !
سلامنوشته شده توسط jolan57 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نظر کمودو
امیر، چه فایلی را ران کردی و اون پیغامهای فایروال کمودو ظاهر شد!
سلام علی جاننوشته شده توسط Jadda [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این مخرب این الرت
insomnia
برای این مخرب slide-fotos03
دیفنس هم که خاموش بود و هشداری شاهد نبودم.
هشدار نورتون در مورد فایلی که گفتم شاید سیف باشد:
Last edited by Karkas20; 13-02-2012 at 22:21.
سلامنوشته شده توسط pcsoft [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
من هم نظر خودم را بدم:
بستگی داره که شما به چه محیطی بگید مجازی!
اگر فایل را در سندباکس اجرا بکنید فایل احتمالا دچار محدودیت میشه و نمیتونه درست و حسابی اجرا بشه و خودبخود فعالیتش متوقف میشه.... ترمینیت شدن فایل به این دلیل نیست که فایل محیط مجازی را تشخیص داده. بلکه به این دلیل متوقف میشه که اون محیط مجازی خوب طراحی نشده!!!!! و فایل نمیتونه آزاد اجرا بشه.
یعنی اون محیط مجازی به خاط محدودیتهایی که داره جلوی اجرای فایل را گرفته، که البته نباید به این گونه باشد و یک محیط مجازی باید واقعی طراحی بشه تا فایلها بتونند در اون محیط به طور آزاد اجرا بشن.... ولی بعضی وقتها شرکتهای ارائه دهنده این محیطها نمیتونند یک محصول مناسب را ارائه بکنند....
در این مورد سوالی بود در خدمتم!
====
اما بحثVM با سندباکس کمی فرق میکنه.
در VM شما تا حد زیادی با یک سیستم مجازی ولی در عین حال واقعی طرفید و تستهای شما روی ویندوز مجازی تا حد زیادی قابل قبول است و فایلها به درستی اجرا میشوند..... برای همین من همیشه تست در VM را به اجرای فایل در سندباکسها ترجیح میدم.
بعد از یه هفته امدیم سیستم را اسکن بکنیم و دیدیم گویا الوده شُدِیم !
خدا برکت به سیستمم بده !
پر از روتکیت و بکدور و تروجان و دروپر شده !
البته بگم اگر الوده شده سیستم / سوییت ها مقصر نیستند / بازیگوشی بندس که مخرب ران میکنم و سوییت ها را غیرفعال میکنم : دی
البته سوییت از نظر فایروال و پروتکشن یعنی نورتون اکی هست
الودگی ترسی ندارد !
یه نصیحت از من :
این برنامه را دانلود و اجرا و اسکن بکنید / هر چند روز یک بار نسخه جدیدش اپدیت میشه !
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Last edited by Karkas20; 13-02-2012 at 22:42.
البته در این مورد خاص فایل سالم است ( طبق نظر نورتون , کسپر , کمودو , پاندا و ...) و مسلما رفتار مخربی از خودش نشون نداده ( یک پلاگین برای winamp است )نوشته شده توسط pcsoft [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
من هم جایی این مطلب رو خوندم که این امکان وجود داره که ویروس محیط مجازی رو بشناسه و خودش رو ترمینت کنه که من هیچی رو غیر ممکن نمیدونم
در مورد سندباکس هم این نظر منه :
نوشته شده توسط Jadda [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ایـــــــــــــــنهنوشته شده توسط Karkas20;6841182
یه نصیحت از من :
این برنامه را دانلود و اجرا و اسکن بکنید / هر چند روز یک بار نسخه جدیدش اپدیت میشه !
[URL="http://support.kaspersky.com/downloads/utils/tdsskiller.zip"
Last edited by jolan57; 13-02-2012 at 22:49.
سلام عباس جان
من هم جایی این مطلب رو خوندم که این امکان وجود داره که ویروس محیط مجازی رو بشناسه و خودش رو ترمینت کنه که من هیچی رو غیر ممکن نمیدونم
فکر کنم دلیل اصلی اینکه مخرب محیط مجازی را میشناسه : محدودیت داشتن محیط مجازی همون سندباکس باشه...
یادمه من یه مخرب را در Sandboxie ران کردم که ترمینیت شد ولی همون مخرب در سندباکس کسپر راحت ران و به کارش ادامه داد.
پس یه سوال پیش میاد :
مگه نمیگیم ویروس محیط سندباکس را میشناسه ، پس چرا در برنامه Sandboxie خودش را ترمینیت کرد ولی در سندباکس کسپر راحت ران شد ؟
در صورتی که هر دو محیط مجازی بودن !!!
من میگم دلیل اینکه ویروس ترمینیت میشه ، باعث و بانیش محیط محدود کننده سندباکس هست !!!
درست میگم یا نه؟
اون محیط سندباکس هست که به مخرب هوش میده ، خودش را ترمینیت کنه و نه اینکه : خوده ویروس هوش داشته باشه و بداند که در یک محیط مجازی هست و باید خودش را ترمینیت بکنه !
ایـــــــــــــــنه
خودشه
یه تشکر از رضا جان بابت اینکه بحث گرمی را شروع کرد
Last edited by Karkas20; 13-02-2012 at 22:53.
خب من فکر کنم در پست قبلیم کل مطالب را گفتم ...ویروس هوش
یه اشاره دیگه بکنم. ویروس هم یه فایله دیگه! اینکه بخواد هوش داشته باشه و تشخیص بده که در سندباکس قرار داره برام کمی سخت است!!
یه مثال بزنم متوجه بشیم:
به فرض شما فقط از یک HIPS استفاده میکنید==> خب، یک فایلی اجرا میشه و بعد HIPS شروع میکنه به پیغام دادن و شما هم به اون اندازه که پیغامهای HIPS را بلاک کنید فضا را برای اجرای فایل تنگتر میکنید و برای مثال اگر همه پیغامها را بلاک کنید فایل متوقف میشه!! درسته. آیا فایل خودش متوقف شده بود؟ خیر. بلکه با جلوگیری از دسترسی های فایل به قسمتهایی که مد نظر فایل بود، اونوقت فایل خودبخود متوقف میشه..... آیا فایل هوش داشت؟ خیر
اگر یک سندباکس نتونه یک محیط مجازی کامل را در اختیار فایل برای اجرا شدن قرار بده، اونوقت فایل یا اجرا نمیشه یا ناقص اجرا میشه..... تقصیر فایل نیست، این وسط سندباکس مقصره!
بنابراین برای همیشه زمان => سندباکسها باید متکاملتر بشوند . . . .
سلام.
برای شناسایی سندباکسها میشه از روشهای ساده مثل لیست کردن فرایندها،کلیدهای رجیستری، بررسی فرایند والد و ... استفاده کرد.
در مورد Sandboxie که به سادگی میشه محیط ایزوله رو تشخیص داد اما در مورد کومودو من با مشکل مواجه شدم!
هم اکنون 2 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 2 مهمان)