۱۸-اردیبهشت-۱۳۸۵, ۲۱:۳۹:۲۱
۰۱-تير-۱۳۸۵, ۰۷:۱۱:۲۶
یعنی کسی نیست ؟!
۰۶-مهر-۱۳۸۵, ۱۵:۰۵:۴۳
دقيقآ نميدونم ولي يكي از دوستان ميگفت كه به PE فايل نگاه مينه و كدهاي هگس فايل رو باز نميكه بلكه يكي يكي فايل هاي سيستم رو اديت ميكنه اگه مورد مشكوك بود ....
۲۵-اسفند-۱۳۸۶, ۱۸:۵۴:۲۵
از يكي از مهندس هاش پرسيدم مي گفت هر ويروس مشخصات و يا كارهاي خاصي توي هيدر فايل انجام ميده مثلا اول هر فايل يا اسم خودشد مينويسه يا اسم فايل ويروسي شو اون موقعه آنتي ويروس هم بر اساس اينا فايل رو باز ميكنه و به دنبال نشانه ها ميگره . در ضمن اگه كسي تايپ فايل هاي exe رو پيدا كرد برام pm كنه
۲۵-اسفند-۱۳۸۶, ۲۰:۲۹:۲۶
اون بنده خدا خواسته خیلی عامیانه و مبتدی به شما کلیت قضیه رو بفهمونه وگرنه هیچ ویروسی اسم نداره که بخواد اول فایل های آلوده بنویسه!!
این کار که به پیداکردن سیگناتور ویروس در فایل ها مشهور هست ، در واقع یافتن کدهای مشخصه ویروس در محل های خاصی از فایل که ویروس در اونجا قرار می گیره ( هدر یا انتهای فایل یا .. ) هستش.
لطفا جای دیگه ای به این صورت عنوان نکن چون کاملا مبتدیانه هست و در شان شما که مدیر وبلاگ هستی نیست.
این کار که به پیداکردن سیگناتور ویروس در فایل ها مشهور هست ، در واقع یافتن کدهای مشخصه ویروس در محل های خاصی از فایل که ویروس در اونجا قرار می گیره ( هدر یا انتهای فایل یا .. ) هستش.
لطفا جای دیگه ای به این صورت عنوان نکن چون کاملا مبتدیانه هست و در شان شما که مدیر وبلاگ هستی نیست.
۰۵-فروردین-۱۳۸۷, ۱۳:۳۱:۳۶
arnh نوشته است:کسی می تونه به من در مورد نحوه کار آنتی ویروس ها توضیح بده؟چک سام فکر کنم طول برنامه باشه که سایز کد نباید از این حد بیشتر باشه
یا حداقل بگه چک سام چیه ؟
انتی ویروسها از روشهای مختلفی برای شناسایی ویروسها استفاده میکنن
1 از اثر انگشت
2 از ردیابی
از اثر انگشت وقتی یه ویروس پیدا میشه انتی نویسها اونو رو ماشینهای مجازی مثل ویژوال پیسی یاwvm اجرا میکنند و اعمال خرابکارانه و نحوه عمل ویروس رو برسی میکنن که کجا و به چه نامهایی خودشو کپی میکنه یا چه کلیدهایی رو میسازه یا تغییر میده تو رجیستری و چه فایلهایی رو میسازه و از بین میبره اینها میشه اثر اون ویروس که اگه این اثار تو یه کامپیوتر باشه یعنی اون ویروس اونجا فعاله
از ردیابی از این روش هم برای یافتن ویروسهای شناخته شده و ناشناخته استفاده میشه مثلا تو هدر فایلهای exe بخشی بنام import table وجود داره که توابعی که اون فایل فراخونی میکنه وجود داره همه ما میدونیم که keyloger ها trojan ها worm ها در کل بد افزارها از یک سری از توابع خاص همیشه استفاده میکنن مثل getkeystat ,readprocessmemory و چیزهای دیگه که در اینجا ثبت شده هستند اگه به طرز کار nod32 دقت کرده باشین بعضی وقتا میگه این برنامه شبیه ویروس خاصی هست ایا میخواهید پاکش کنین؟
اینها روشهایی هستند که برای شناسایی ویروسهای ناشناخته استفاده میشن nod32 با تکنیکهای پیچیده معمولا 20 بایت اول فایلها رو میخونه و اگه تشخیص بده ویروسه که اعلان میده و اگه فایل pack شده باشه سعی میکنه اونو با متد های خودش unpack کنه و از محتوی فایل باخبر بشه و حتی تو فایلهای zip و rar رو هم پویش میکنه (تو 20 بایت اول اگه قادر به شخیص نباشه میره سراغ فایل بعدی)
روش بعدی از این سری استفاده از hookapi هست که kaspersky از اون استفاده میکنه که یک hook سطح کرنل رو سیستم نصب میکنه وقتی رو یه فایل exe کلیک میکنین loader ویندوز یه process به حالت suspend ایجاد میکنه و loader با خوندن heder فایل exe نقطه شروع کد oep رو پیدا میکنه و با خوندن imagebase از نقطه شروع این مقدار اصلاعات رو که بصورت binary هسند رو درون procee قرار داده و اونو از حالت suspend خارج میکنه و برنامه اجرا میشه وقتی برنامه اجرا میشه برای کار و فعالیت از توابع api استفاده میکنه و وقتی توابع خاصی که از نظر av خطرناکه فراخونی بشه av متوجا میشه و جلوی اونو میگیره
موتو پویشی nod32 و kaspersky بهتری موتور انتی هستند
kris kaspersky کتابهای جالبی در مورد امنیت ویندوز داره که خوندنش خالی از لطف نیست
۰۹-تير-۱۳۸۷, ۲۲:۲۵:۲۷
حاجی! میشه بگی این اطلاعاتو از کجا آوردی؟! 
خیلی خفن بودن جون خودم
خیلی خفن بودن جون خودم