Fly code что это
Часто можно услышать о том, что тот или иной новый вирус обходит защиту антивируса. Это действительно возможно, однако обход обходу рознь.
Один из популярнейших способов обхода – перешифрование уже известного антивирусу троянца или иной вредоносной программы. Файл шифруется или упаковывается так, что антивирус не может распаковать его и опознать известную угрозу. Достигается это, в частности, использованием упаковщиков, пакующих файлы с помощью неизвестного антивирусу формата.
Технология Fly-Code обеспечивает качественную проверку упакованных исполняемых объектов, распаковывает любые (даже нестандартные) упаковщики методом виртуализации исполнения файла, что позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками, без распаковки архивов. Технология позволяет уменьшить размер вирусных баз.
Но обходит троянец защиту или нет – он в любом случае анализируется на вредоносность, то есть перехватывается. Обхода методов защиты – нет .
Проиллюстрируем на примере из жизни. Вы сидите на пропускном пункте, мимо вас проходят люди, и вы должны выявить среди них нарушителей. Вы делаете это по формальным признакам (наличие пропуска/паспорта) или на основе визуальной оценки (идет прямо или ползет и лыка не вяжет). Визуальный осмотр – это метод перехвата, обойти вас тут мог бы лишь человек-невидимка. В теории такое бывает, но на практике – нет, поэтому, несмотря на требования о необходимости защиты от стелс-проникновений, вам вполне достаточно, как и прежде, иметь охранника на входе.
С чем же сравнить обход антивируса? В описанном выше примере это подкоп под забором или проникновение через окошко, оставшееся открытым, в то время как проверка происходит на вахте.
Можно ли этому противостоять? Да: пустить патруль с овчарками.
Применительно к антивирусу вахта – это контроль запускаемых программ, т. е. файловый монитор. Даже если есть уязвимость, то для запуска файла (как было в случае с WannaCry) этот самый файл должен присутствовать в системе. А если таковой появится – то он будет проверен и на основании «ориентировок» либо пропущен, либо ликвидирован.
А патруль – антируткит, периодически проверяющий запущенные процессы. Дело в том, что не все вредоносные программы – файловые. Есть и бесфайловые вирусы, да и в процесс тоже можно внедриться без создания файла на диске.
Получается, что так или иначе антивирус проверит файл, и защиту обойти не удастся. Но почему же троянцы запускаются, а пресса сообщает об обходах?
Не будем вновь говорить о случаях необновления или отключения антивируса. Проблема в том, что и файловый монитор, и антируткит опознают вредоносные программы по записям в ядре – «ориентировкам». Нет такой «ориентировки» – запуск разрешен. Правильно ли это? А правильно ли будет, если полиция будет хватать любого, кто просто зашел в дом? Ведь зайти может и вор, и просто знакомый попить чаю.
Антивирус может «расстреливать» всех входящих, но не должен этого делать.
Можно ли решить проблему? Да, если следить за всеми, прошедшими на охраняемую территорию. Так и делается: это превентивная защита, которая следит за всеми действиями уже запущенных программ.
А обход? Оказывается, в большинстве случаев он происходит из-за экономии хозяина охраняемой территории. Обычный антивирус проверяет исключительно на основании сигнатур вирусных баз. И, «действуя в рамках закона», при отсутствии сигнатуры претензий к злоумышленнику не имеет. А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии.
Итого. Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий и речь идет о создании файла, для которого пока нет записи в вирусных базах. Она появится максимум часа через два после начала первой атаки. А самого обхода можно было избежать, правильно настроив антивирус.
Антивирусная правДА! рекомендует
В среду, 15 июня, Европол сообщил об успешной операции, в результате которой с 5 по 9 июня в шести странах Европы были арестованы шесть клиентов криптор-сервиса. Операция под кодовым названием Neuland проводилась в течение года и началась в апреле 2016 года с ареста немецкой полицией 22-летнего гражданина Германии. Неназванный житель города Кобленц обвиняется в создании криптора и платформы, позволяющей вирусописателям тестировать свое ПО на предмет обхода антивирусной защиты. Названия ресурсов Европол не приводит.
Это – первая известная нам акция такого масштаба, направленная не против распространителей вредоносных программ, а против тех, кто обеспечивал возможность обхода антивирусной защиты.
Оцените выпуск
Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.Сделайте репост
![[ВКонтакте]](https://st.drweb.com/static/new-www/social/no_radius/vkontakte.jpg)
![[Twitter]](https://st.drweb.com/static/new-www/social/no_radius/twitter.jpg)
Поставьте «Нравится»
![[facebook]](https://st.drweb.com/static/new-www/social/no_radius/facebook.jpg)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Хорошая технология Fly-Code, помогает идельно, вопросов нету. Ну надеюсь работающий обновленный Dr.Web обойти не удастся. @YorudArud, это верно только для целевой атаки. Но обычному пользователю столкнуться с ней маловероятно. Типичная атака широковещательна - атака идет на множество пользователей, поэтому нам и не нам она попадает практически гарантированно @Вячeслaв, я имел в виду, что дрвеб или другой вендор может не знать, что на какие-то ПК проводится атака, если там не установлено вашего или никакого антивируса или с него не отправляется нужная инфа в антивирусную лабораторию. Да еще и как-то должно быть определено, что действие вредоносное. @YorudArud, "Очень сомнительно, что "запись в базе появится максимум часа через два после начала первой атаки"". Статистика и не более. Свежих тестов не найду, но журналисты проводили тестирование обновлений. Нормальная скорость реакции - два часа. И при чем это реакция от появления до обновления пользователя. То есть до появления в базах на зонах обновлений - еще меньше.Автоматизация процессов обработки образцов рулит. Основное время - не занесение в базу, а пересборка базы и тестирование совместимости с различным ПО.
Почему так мало? Основное вредоносное ПО - трояны. Для вирусов нужно искать по файлу тело вируса, разрабатывать процедуру лечения. Для троянов нужно найти характерный участок и все. А мне понравилось:"А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии." Очень сомнительно, что "запись в базе появится максимум часа через два после начала первой атаки" овчарки улыбнули) хороший текст, помогает организовать порядок в голове по поводу технологий Dr.Web Наверное, тоже кстати. Сегодня прошло очередное обновление компонентов в продуктах Dr.Web. Мощные обновления (нужна перезагрузка). Интересная статья. Да, обход возможен. Но это было бы еще полбеды. Плохо то, что он иногда внезапно случается, - "иной новый вирус обходит защиту антивируса". Временной коридор в два часа пусть и не велик, но, тем не менее, он опасен. Можно сказать, что в некоторый отрезок времени, бывает, вирус с антивирусом просто сосуществуют ("приглядываются") до поры, когда антивирус увидит его зловредную сущность и примет соответствующие меры. Неопознанный объект будет проверен и, на основании "ориентировок" (по записям в ядре Dr.Web), либо пропущен, либо ликвидирован. Так или иначе, антивирус проверит файл, и защиту обойти не удастся. Нужна "самая малость", - установленный работающий правильно настроенный Dr.Web Security Space и внимательная осторожная своя голова на плечах. Автору - респект! Статья хорошая. Понятно, доходчиво, ясно. Спасибо. Пропускной пункт, охрана, патруль с собаками и это всё всего за полторы тыщи почти на три года! Круто! Не, точно не переплатил.)))) И антивирусное решение с превентивной защитой существенно снижает риск заражения вредоносными программами, чем без неё. Обход ассоциируется с чем-то постоянным, не зависящим от обновления антивирусных баз и самого антивируса. Всем оставаться у компьютера, это антивирусная полиция, вы задержаны при попытке обойти антивирусную защиту. Аналогия с пропускным пунктом интересная. Я не вникаю в тонкости защиты - доверяю Dr.Web! Хотелось бы надеяться на то, что методов обхода действительно нет. Какие-то антивирусы наверняка обходятся, так что доля правды в сенсационных заголовках есть. Действительно нередко НЕпрофессионалами размывается граница между понятиями (Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий) ради псевдосенсации. Спасибо за пояснение, очень важно когда вещи называются своими именами.
Читайте также: