-
GAMEPOD.hu
Vírusirtó Topic 2019
Új hozzászólás Aktív témák
-
szaki26a
aktív tag
válasz BigManus #28287 üzenetére
Nsa elfogja a "baráti" országokba menő cisco eszközöket és bepoloskázza. Fura mód Microsoft lépet fel legerősebben NSA ellen. Microsoft, Cisco, FB létrehozott egy konzorciumot közösen kívánnak fellépni ez ellen.
Persze illúzióink ne legyenek, titkosszolgálatok megtalálják az utat, hisz ez a dolguk. Ma NSA fizeti messze legtöbbet az új biztonsági lyukakért. Kína a kanyarban nincsen hozzájuk képest, de más a cél is. -
szaki26a
aktív tag
válasz kivlov #28289 üzenetére
Mivel a Webroot nem teszt kompatibilis ezért nem is fogsz jó eredményeket látni teszteken. Lassan egy éve dolgoznak, egy teljesen új tesztmetodikán, ami képes lesz valós eredményeket mutatni, lassan elkészülhetnének vele. Valódi éles helyzetben pedig jól vizsgázik nálam már évek óta, és mivel akkora gépparkról van szó, ami már statisztikailag is mérvadó lehet, hidd el igen előkelő helyen lesz majd a teszteken.
[ Szerkesztve ]
-
szaki26a
aktív tag
válasz King Unique #28293 üzenetére
Sok gyártó küldi el automatikusan a gyanús ismeretlen fileokat, de nem mindegyik, vagy opcionálisan ki be kapcsolható ez a funkció. Webroot nem küld el egyetlen filet sem, elemzés a gépeden történik md5 hash és a file viselkedésére vonatkozó kódok amiket felhő kap. Nézz bele scan log -ba ott látod mit kap felhő.
kb ezt fogod látni, ha ismeretlen fileról van szó:
[U.]c:\program files\whocrashed\whocrashed32.dll [MD5: 8B901026D48B931ADB230105B9161948] [Flags: 00001000.13412]Állami kémkedés ellen értelmetlen védekezni, ha nem vagy célpont. Személyes adatokkal viszont egy cég is tud mit kezdeni, én például nem szeretem se google, se Facebook adatvédelmi szabályzatát. Gyakorlatilag minden adatod az övék, szabadon felhasználhatják, tárolhatják, feldolgozhatják. Microsoft a kivétel, mert ezzel akarja megkülönböztetni magát. lásd [link]
[ Szerkesztve ]
-
szaki26a
aktív tag
válasz King Unique #28295 üzenetére
Bitlocker tpm csippel szintén FBI problémát okoz. TPM et kell törni ami időigényes (sokat kell várni míg az ecet leoldja a burkolatot) Kina googlet, microsoftot sem a kémkedés miatt akarja kitenni.
Igen browser-re tér ki, de ami lényeg úgy tűnik a szándék megvan a kémkedésre. Hogy mit tesz az AV illetve mit tehet nem tudjuk, de mivel tartalmaz egy saját motort is ezért innentől, csak szándék kérdése. (Vírusirtó motort úgy kell elképzelni, mint a gépen bármit végrehajtani képes szabadon programozható motort, amit az adatbázisban található kódok futtatására használnak.)
Ezért nagyon erősen bizalmi kérdés, mit teszel fel.[ Szerkesztve ]
-
szaki26a
aktív tag
Olvastátok ezt?
http://m.itcafe.hu/hir/kaspersky_galileo_hackingteam.html
-
szaki26a
aktív tag
Csak a miheztartás végett, hogy mennyit ér az adatbázis alapú teszt 500 vagy akár pár ezer mintával.
1. Kaspersky 2013 mas adat: NAPI! 315,000 új malwaret detektálnak.
Kis matek:
Ez azt jelenti, hogy a napi malware mennyiség 0,158% a alapján akarsz, statisztikai alapon eredményre jutni. Ez ilyen kis mintán, minden statisztikai mintavételi szabály betartásával is lehetetlen lenne.2. A minták ellenőrizetlenek, és gyakran van köztük, nem valódi malware, csak pua, pup, kínai zongora tankönyv program stb. A mintákat egyenként ellenőrizned kéne, valóban káros e, és hova sorolandó ha igen. Sérült, valódi fenyegetést nem jelentő fileoktól megtisztított mintával tudnál csak igazi eredményt mutatni.
Az ilyen mintából kellene minimum 40-50,000 darab, naponta.3. És még egy probléma, azokat a helyeket ahonnan beszerzed a mintákat, ismerik a gyártók is.
Sokan ész nélkül besorolnak mindent malwarenek ellenőrzés nélkül.Lásd Kaspersky virustotal botrányt.
(Ha valaki nem tudná, kaspersky feltöltött egy teljesen ártalmatlan filet amit ő vírusosnak jelölt, hogy tesztelje vajon hányan teszik adatbázisba ellenőrzés valódi kutató munka nélkül. )
2010 ben.
[link]4. A hagyományos vírusirtó halott, symantec elnöke sem véletlen mondta ezt. Mi a szakmában évek óta mondogatjuk, adatbázis alapon lehetetlen védekezni mostanra komollyá vált fenyegetések ellen.
Szerver alapú polimorf motorok, ATP, stb. Lásd cryptolocker, folyamatosan generálta újnak nem mondható eszközökkel a komoly károkat. (Zeus variáns, cryptolocker payload egy Microsoft Crypto api ra épülő encrypter volt csak, semmi olyan nem volt benne ami új vagy meglepő lett volna.)[ Szerkesztve ]
-
szaki26a
aktív tag
válasz King Unique #28600 üzenetére
Gyors leszek, mert meccs van
Identity Shieldnek része egy a Zamana anti keyloggerhez hasonló technologia. Gyakorlatilag, ismeretlen folyamatot nem enged másikhoz hozzáférni. Jelszavak így védve vannak. Van olyan bank ami csak ezt veszi, és adja az ügyfeleinek, olyan erős védelmet jelent. -
szaki26a
aktív tag
válasz King Unique #28604 üzenetére
WSA használ saját technologiát.
.
Itt egy link a banktól:
[link] -
szaki26a
aktív tag
válasz daimonion #28724 üzenetére
A tesztlaborok azzal tesztelnek amit kapnak. Verziók, beállítások mind a gyártó által megadott útmutatás szerint. Ez minden labornál így van. Egyébként PCMAG a legjobb tesztek egyike, pont a készítője miatt, annak van a legjobb metodikája. A symantecet kedveli ugyan, de a nem teljesen elfogult.
-
szaki26a
aktív tag
válasz rayoliviero #29231 üzenetére
Ahogy nézem ez elég szürke zóna. Vislekedés alapján ugortt tájuk nagyrészt. Http mini szerver, encrypter hasonlók. Ha tuti ismert program része jelentsd nekik az fp-t javítsák ki, más ne szívjon vele
-
szaki26a
aktív tag
válasz blattida #29719 üzenetére
Nem használ sophos motort. WSA saját motort használ. OEM partenerek: Spysweeper with antivirus használt sophos motort a webrooté mellett. Adatbázis és minta amit kaphatnak és használhatnak ma is. Motort nem. (Szerver oldalon sem egy sophos motor fut az biztos.)
[ Szerkesztve ]
-
szaki26a
aktív tag
Én is mutatnék egy érdekes PDF et. AV-k biztonsági helyzetéről. Siralmas.
-
szaki26a
aktív tag
Az igazán ciki tudod mi? 2012/13 ban egy magyar hacker mutatta ugyan ezt be a magyar hacker konferencián. Ugyan ezekre az eredményekre jutott, és akkor is betömték a réseket állítólag...
Gyakorlatilag 2 évvel később egy másik hacker megismételte ugyan azzal az eredménnyel. Ha ismered, a célpont milyen AV-t használ, nem csak kijátszhatod a védelmét, de egyenesen használhatod arra, hogy teljesen átvedd az irányítást a gép felett.Amit nem lehet figyelmen kívül hagyni, az az, hogy ehhez semmi extra, bonyolult eszközre nem volt szükség, gyakorlatilag a megcélzott AV napok alatt, a hacker végrehajtójává válhat. Ha jól emlékszem a motorok, és az adatbázisok is védtelennek bizonyultak. Aki tudja mit jelent ez egy motornál, el tudja képzelni mit, lehet kezdeni, egy System jogosultágú, teljesen programozható, végrehajtó motorral. Bármit...
[ Szerkesztve ]
-
szaki26a
aktív tag
Konkrétan megvizsgálták érintett vagy sem. (Nem volt az, a teljesen más rendszer miatt talán)
Support nem igen nyúlkál bele, max fp érdekli őket. Kapott fileokkal kezdenek e valamit, hát nem tudom. Max ha nagyon kirívó szerintem. Ha elindítja valaki és tényleg kárt okoz, úgy is megkapják ami kell. De pl mikor rendőrséges vírus teljesen új módszert alkalmazott, a fertőzés után kizárni a gépből, azt kielemezték és új wsaban specifikus javítás lett. -
szaki26a
aktív tag
válasz daimonion #30327 üzenetére
Ilyesmiket APT-k nek tartogatják, a lényeg pont az, hogy fogalmad sincsen, gyakran évekig észrevétlenül mozoghatnak, a szervezetekben, ez a céljuk, és ez a fő veszélyük is. Otthon kis eséllyel futsz bele, maximum ha olyan helyen, dolgozol ami célzott.
Traficlight és hasonlók 0 % os eséllyel védenek meg tőlük. Nagyon kis csomópontokból is fel lehet építeni nagyon nagy hálózatot, gyakran automatikus csomópont váltással.
Mondanám, hogy expoit shield, hips megvéd ellenük, de nem igy van. Expoit shield és hasonlók tesztelve vannak, hipsek szintén. Amelyik kód elakad azt tovább gyúrják.Vírusok terjedése 99% ban spam és weboldalon keresztül történik. Pl.: Reklámok. Iframek. Metasploit ha gyorsan kell a támadónak akkor fekete piacon azonnal vehet támadó kódokat. Mint egy webáruház, felárért be klikkelheted 50,000 spam továbbító zombit akarok, többi nem érdekel. Esetleg tudom célpont mit használ és az ellen garantáltan működő kódot kersek, vagy csak leggyakoribb 5-10 ellen most éppen működő kódot. Esetleg verzió követéssel.
És ez a jéghegy csúcsa... -
szaki26a
aktív tag
válasz daimonion #30340 üzenetére
Java már régen nem az elsődleges célpont, javascript pedig nem igényel java futtató környezetet. Böngésző futtatja. Flash,IFrame,PDF, stb. gyakorlatilag bármi támadható. ha érdekel akkor egy bővebb leírást példa programmal tudok adni, arról, hogyan lehet AV-k et átverni, de ide nem linkelem ki.
-
szaki26a
aktív tag
válasz King Unique #30478 üzenetére
Miért nem menne rajta újabb windows? 1GB ram meg 64 bites proci elég neki még 8.1 nek is. Egyetelne kérdés az intel vga driver szokott lenni, de arra is van megoldás már.
Egyébként szeritem adatbázis frissítés lesz, de funkcionális már nem. Illetve, ha valami bugba szaladsz akkor azzal már nem foglalkoznak.
-
szaki26a
aktív tag
válasz Mikulásbá #30644 üzenetére
Korántsem meglepő. Mielőtt a ransomware kikerül a készitőktől, gondosan letesztelik, a számukra érdekes védelmekkel. A célországokban a Kaspersky vezető pozicióban van, ergo tesztelve lesz. A jövő... jelen?
A ransomware payloadként érkezik a gépre.. A másik összetevő letöltés előtt ellenörzi az AV tipusát és bizony más payload érkezhet egy olyan gépre amin adott tipusú védelmet talál. Már most is van ilyen tipusú támadás, és várható a további terjedése az APT-k felöl. -
szaki26a
aktív tag
Hello
Nem pont vírusirtó, de szerintem fontos következményeket lehet levonni. Mennyit is érnek vajon.
http://www.hwsw.hu/hirek/53220/crysis-mrg-effitas-next-genertation-firewall-teszt-biztonsag.html
-
szaki26a
aktív tag
Túl gyorsan kitettem Mostmár jó lesz szerintem, fő cikk a hwswn most.
-
szaki26a
aktív tag
válasz bajszatlan #31691 üzenetére
Malwarebytes vagy valamelyik rescue cd és windows update.
-
szaki26a
aktív tag
válasz olivera88 #32578 üzenetére
Ez sajnos nem újdonság és sokkal egyszerűbb módok is vannak kikerülni sandboxot. De ha jobban meggondolod sok gyártó ajánl csillagászati összegekért eszközöket amik hálózat belépési pontokon fognák meg apt ket, mallwareket úgy általában. Ezek mind egy kvázi sandboxban futtatják a kérdéses fileokat. Volt is ilyen ilyen teszt. Nem is értek kb semmit.
[ Szerkesztve ]
-
szaki26a
aktív tag
Van sok detektálási lehetőség. Illetve ha ismered AV-t akkor sebezhetőségen keresztül ki tudsz törni. Vagy hagyod egészet farncba, és azt mondod: várj 20 percet mielőtt kicsomagolnád, kikódolnád a gyanús részeket. Egyszerűen képtelenség ilyen hosszan homokozóban várni mi lesz, teljesítmény miatt.
-
szaki26a
aktív tag
Az ilyen cbt és cryptolocker variansokkal egy baj van. Nincsen ellenük védelem csak helyi gépre az is csak egy. De felcstolt meghajtókat az se védi meg. A helyi elkodolt fileok nem okoznak gondot. De felcsatolt lemezeknek csak backup segíthet. Pedig marha egyszerű lenne ismeretlen processeknek megtagadni az írást, nem is értem miért nem ez a default.
Ui.: Mi is kaptunk elsőként cbt t. De logban kellett keresni, hogy megtaláljam volt e.
-
szaki26a
aktív tag
válasz qpakcovboy #32770 üzenetére
Nézzétek át a levelezését. Valószínűbb hogy onnan jött. Facebook játékok azért szűrve vannak elég rendesen.
-
szaki26a
aktív tag
válasz King Unique #32777 üzenetére
Xp nem xp ennek mindegy. De még av is nagyából. Egyedül az védte volna meg aminek nem mondjuk ki a nevét. De az is csak helyi gépen. Mi visszakaptuk minden filet amit titkosított mikor blokkolták.
-
szaki26a
aktív tag
válasz King Unique #32781 üzenetére
Igen az az 1 aminek nem mondjuk ki a nevét lol. De tényleg csak WSA rollback véd meg ilyenkor. Illetve más avk nal ha kijött már ez a technika. Cisnel volt szó róla, de az meg max otthon megoldás.
-
szaki26a
aktív tag
válasz Krystal_s #32786 üzenetére
Ilyeneket senki nem fog tudni neked mondani. De kb következő a helyzet, felmész a windows updateket végig nyálazod, mi amit nem foltoztak be, és XP is érintett lehet. Ezek egy részére lehet működő exploit a fekete piacon. Viszont nem a te otthoni géped lesz az elsődleges célpont. Nagyvállalatok támadására, esetleg cyber fegyver fejlesztésre fogják használni. Aztán szépen lecsorog valamelyik exploit kit-be és bekerül Vírus készítő modulokba. Na bajban ekkor leszel. Már most is a legnagyobb Vírus készítő kitnek része az exploit szekció. Hozzáértés nem szükséges, bérelhetsz vagy vehetsz Vírus készitő, command center, exploit modulokat a neten. Csak végig kell kattintgatni: xy exploit, mit csináljon a fertőzött géppel, milyen av-t állítson le vagy kerüljön meg. klikk, klikk, klikk kész is vagy. Bár ha lusta vagy egyszerűbb, ha veszel fertőzött gépeket amik már tagjai a botnetnek. 5000-10000 csomagban nem is drága, főleg ha nem usa.
-
szaki26a
aktív tag
Sajnos nem olyan egyszerű megmondani most épp cryptolocker kódolja el a filet. Viselkedés elemzés kb anyit tud figyelni, hogy ismeretlen program, nagyon sok filet nyit és zár. Megbizonyosodhat róla pl nem egy legitim program, aztán blokkolhatja. Az addig elkódolt fileokat viszont vissza kell állítani, mert pár percig biztos figyelni kell a viselkedést, hogy lebukjon. Van olyan AV ami így véd ezek ellen, nem is izgulok az újabb ransomware hullám miatt.
-
szaki26a
aktív tag
válasz Szellem. #33107 üzenetére
Normális esetben új variánst amit nem ismer monitoroz pár percig és elemzi mit csinál. Ha valakinél hamarabb aktivizalja magát és kezd kódolni akkor felhőből fog jönni a block roleback parancs. Ha sikerül legelsőnek lenni akkor gépen lévő wsa fog blocckolni és küldi md5 öt és viselkedését a felhőnek. Block roleback szempontjából nincs különbség.
-
szaki26a
aktív tag
válasz copass #33212 üzenetére
Microsoft viselkedése az oka, hogy semmit nem ér, gyakorlatilag az az alap, amihez mindent lehet mérni.
A Microsoft ugyanis az egyetlen olyan cég, ami MINDEN vírusmintát megoszt. Ezért gyakorlatilag minden vírusirtó adatbázis hozzá képest, csak bővebb lehet. Igazából, meg kéne neki köszönni, így legalább régi vírusok nem kavarognak. Ha nem így tenne akkor pedig eljárás indulna, mint pl. media playernél.
Új hozzászólás Aktív témák
● TILOS a warez!
● Vírusos, vagy egyéb kártevőt tartalmazó linkek a topikban való elhelyezésére vonatkozó szabály:
Tilos a topikban bármilyen vírusos vagy lehetséges vírusos kártevő link elhelyezése.
Az ilyen linkek megosztása csak privátban, PH tagok számára osztható meg.
Ellenkező esetben a hozzászólás törölve lesz.
- Bontatlan - BATTLEFIELD 1 Collectors Edition - Játékszoftver nélkül
- Game Pass Ultimate előfizetések 1 - 25 hónapig azonnali kézbesítéssel a LEGOLCSÓBBAN!
- Megmaradt - Eredeti Humble, Choice - Steam kulcsok
- Windows 10/11 Home/Pro , Office OEM/Retail kulcsok
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs