Najbolja zastita protiv "zero day,hour or zero min" virusa

acafacaa:
Ne znam koji antivirus koristis,niti me zanima,ali sumnjam da je neka od onih koje sam ja preporucio za najbolju zero-day zastitu,posto ocigledno za vecinu nisi nikada ni cuo...I ne stavljaj mi reci u usta,nisam ja rekao da da avast,avg itd nisu dobri,oni su super,ali kada je u pitanju zero day zastita,ili pak zastita od virusa za koji nemaju signitures koji su mozda izasli i pre 10 dana,tu ne mogu nista sem da ih puste u sistem.
Posto je tako,hocas da ti posaljem 20 svezih linkova da vidimo da li ce tvoj antivirus da ih zaustavi,moze?!Da vidimo koliko ti je jaka zastita protiv novih virusa.
Ako zaustavi sve,ja odlazim sa foruma i ne vracam se vise,i pojescu ovo moje kuciste sa sve kablama.Moze?
Kliknite za proširenje...

Не интересују ме твоји "вирус-тестери", ја не болујем од те параноје зване "zero day" вируси, јер као што ти је неко овде већ рекао (а и ја сам то још много раније говорио овде на истом форуму, ко зна зна, ко не зна нема везе), најбоља сигурност је како се сам понашаш на нету, плус редовно ажуриран ав програм (проверен на основу искуства) са уграђеним firewallom или неким засебним, плус нека real-time заштита. Ако то не испоштујеш и ако си и превише радознао на нету, није ти потребан "zero day" вирус може те сјебати и неки који већ годинама постоји.
 
Poslednja izmena od moderatora:
I ne radi se ovde samo o zero day virusima,ovde se radi o NEPOZNATIM virusima za koje antivirus kompanije nisu jos napravile signitures,mogu on da budu i mesec dana stari...
Svakoga dana izlaze mnogo novih virusa i ako mislis da ce svaka kompanija da napravi signitures za sve,onda ne znam sta da ti kazem...Kada bi imao 100 000 virusa od pre 2 meseca,vecina antivirusa bi detektovala najmanje 90 do 98-99 % njih sto u prevodu znaci da iako nisu zero day ostalo bi najmane 1000 do 10 000 nedetektovanih,da kazem i 6-7 hiljada,da ne preterujem sa bas sa 10 000.Ako je to malo onda...:dash:
 
Poslednja izmena:
acafacaa:
Sta koristis snejks od zastite? :D
Cisto onako pitam,ako nije tajna?:ok:
Kliknite za proširenje...

Za svakodnevnu upotrebu dovoljan mi je bilo koji normalan antivirus koji je redovno updajtovan , aktivirani firewal i aktivni spy ili malwarestit , za sumnjive operacije godinama koristim "GUARDIAN" sistem , možda niko od vas nije ni čuo za njega.

Za testiranje inače koristim virtual pc 2007 , uzmem xpsp3 instaliram , multipliciram ga i podignem 5 ili 6 istih OS-eva na host operativnom sistemu za svaki zasebno instaliram drugačiju AV-spy-malw. kombinaciju , pokrenem sve istovremeno i vozi , čak i neki da propusti nešto jednostavno obrišeš virtuelni OS a host ostaje netaknut neinficiran .
 
snejks:
Za svakodnevnu upotrebu dovoljan mi je bilo koji normalan antivirus koji je redovno updajtovan , aktivirani firewal i aktivni spy ili malwarestit , za sumnjive operacije godinama koristim "GUARDIAN" sistem , možda niko od vas nije ni čuo za njega.

Za testiranje inače koristim virtual pc 2007 , uzmem xpsp3 instaliram , multipliciram ga i podignem 5 ili 6 istih OS-eva na host operativnom sistemu za svaki zasebno instaliram drugačiju AV-spy-malw. kombinaciju , pokrenem sve istovremeno i vozi , čak i neki da propusti nešto jednostavno obrišeš virtuelni OS a host ostaje netaknut neinficiran .
Kliknite za proširenje...

Jako lepo resenje ;)
Hoces neki za****** link da to posaljem,samo mi kaze koji antivirus ces testirati u kom sistemu,da ti kazem kolike su mu sanse?:) :) ;)
 
acafacaa:
Slazem se za surf,samo sam hteo da dodam da nije net jedino mesto gde se skupljaju virusi,fleske i mem.kartice npr mogu da inficiraju komp gadno.
I postoji nacin zastiti se od SVEGA sto postoji,bio taj virus od pre sat vremena ili pre 1 min...
Evo nekoliko resenja:
-NIS 2011 hvata (provereno) 99,99 svih virusa koje download-ujete zato sto ima fenomenalnu reputation i file insight tehnologiju,uz to i odlicnu bazu virusa(oko 33 000 000 virusa)
-BluePoint security-ima veliki whitelisting i fenomenalan cloud scanner tako da sve sto nije na whitelist-i salje se na cloud na analizu i dobija se povratna informacija ubrzo,tako da je u stanju da uhvati 100 % pretnji bile one od danas ili pre mesec dana...
-HIPS software kao npr. DefenceWall ili Geswall zaustavljaju SVE sto postoji bez izuzetka...
-I na kraju moji omiljeni Comodo Internet Security 5-antivirus + cloud scanner,HIPS + sandbox + whitelisting + Behaviour analiza + firewall...
Ako se nauci kako funkcionise taj ceo sistem,ne moze ni muva da proleti,to vam garantuje acafaca :)
Kliknite za proširenje...

acufacu za direktora :worth::sad2:
 
Pojedini malware-i se ne ponasaju isto na VM i na pravom sistemu. U stanju su da prepoznaju virtualno okruzenje. Tako da pravi testeri koriste prave sisteme kako bi analizirali pojedine malware.

Primer Bamital

Nemoguce je zameniti zarazene fajlove explorer.exe i winlogon.exe rucno na VM. Postoji nacin da se zamene, nekim alatom, recimo Avenger, ali u tom slucaju je nemoguce bootovati VM.

Ovakvi testovi koje radi acafaca nisu merodavni. Jedno je skenirati kolekciju malware, a nesto sasvim drugo ciscenje zarazenog sistema. Kad zarazi sistem, malware koristi svoje mehanizme da bi se zastitio, slozene mehanizme, a ovi malware-i u kolekcijama su kao na streljani, cekaju da dodju na red za odstrel.

Zasto je vazno da se prvo zarazi sistem, iz prostog razloga, jer je prvo nastao malware, pa je tek onda AV dobio definicije za njega. Znaci prvo zaraziti sistem, sa iskljucenim AV-om, pa tek onda pustiti AV i videti sta ce da uradi.
 
Poslednja izmena:
toske1:
Pojedini malware-i se ne ponasaju isto na VM i na pravom sistemu. U stanju su da prepoznaju virtualno okruzenje. Tako da pravi testeri koriste prave sisteme kako bi analizirali pojedine malware.

Primer Bamital

Nemoguce je zameniti zarazene fajlove explorer.exe i winlogon.exe rucno na VM. Postoji nacin da se zamene, nekim alatom, recimo Avenger, ali u tom slucaju je nemoguce bootovati VM.

Ovakvi testovi koje radi acafaca nisu merodavni. Jedno je skenirati kolekciju malware, a nesto sasvim drugo ciscenje zarazenog sistema. Kad zarazi sistem, malware koristi svoje mehanizme da bi se zastitio, slozene mehanizme, a ovi malware-i u kolekcijama su kao na streljani, cekaju da dodju na red za odstrel.

Zasto je vazno da se prvo zarazi sistem, iz prostog razloga, jer je prvo nastao malware, pa je tek onda AV dobio definicije za njega. Znaci prvo zaraziti sistem, sa iskljucenim AV-om, pa tek onda pustiti AV i videti sta ce da uradi.
Kliknite za proširenje...

Pa dobro, u pravu si da malveri koriste svoje mehanizme zastite. Ja sam bas prije neki dan bio kod jednog prijatelja, zvao me covek u pomoc, komp mu zarazen. Iz njegovog opisa ja shvatim da je u pitanju neki rogue. Ja dodjem kod njega, cvrsto uvjeren da cemo stvar rijesiti za 10 min. Ali ne lezi vraze, sto rekla stara izreka. Taj rogue je tako agresivan da ne dopusta pokretanje nijednog programa, ponekad cak ni instalaciju nekog novog. Ja pokusavao sa mbam, jedva ga instaliram i pokrenem i krene skeniranje, ali posle par minuta ovaj rogue ga srusi. I sve tako. Pa sam pokusavao sa hitman pro, sas, spyware doctor...Ma nista nisam mogao pokrenuti. I onda na kraju jedva nekako posle 2-3 sata pokusavanja uspijem pokrenuti Aviru i sa njom ocistim tu gamad.

Mada, odlike dobrog av nisu samo klanje sa virusima po kompjuteru i njihovo ciscenje, vec i sposobnost da se oni sprijece da udju u sistem.
 
Sto znaci da ga Avira ima u definicijama, ali je ipak uspeo da se provuce pored nje. Isto je i sa drugim poznatim antivirusima, skoro svi ga imaju u definicijama, ali se takvi rogue programi ipak provuku.
Jos nesto veoma bitno kod AV programa je kakav ce sistem ostaviti iza sebe posle ciscenja malware, ostecen ili ne.

Ta kolekcija koju je testirao acafaca, pa je ovde postavio neke procente, takodje nije merodavna. Pitanje sta je tu sve malware. Ako nekoliko AV kompanija prijave recimo na VT-u, neki fajl kao malware, ostale kompanije ga kao po mehanizmu stavljaju u kolekciju, bez ikakve provere. Znaci nije sve u toj kolekciji malware, pa ga neki AV detektuje a neki ne (posle analize).

Primer je program koji @hardal ima u svom avataru. Kad ga je jedna AV kompanija detektovala kao malware, sve ostale su brze bolje stavile program na crnu listu, bez analize. Program nema blage veze sa malware-om. I danas ga poneki AV detektuje i pored mnogobrojnih upozorenja o cemu se radi.
 
toske1:
Pojedini malware-i se ne ponasaju isto na VM i na pravom sistemu. U stanju su da prepoznaju virtualno okruzenje. Tako da pravi testeri koriste prave sisteme kako bi analizirali pojedine malware.

Primer Bamital

Nemoguce je zameniti zarazene fajlove explorer.exe i winlogon.exe rucno na VM. Postoji nacin da se zamene, nekim alatom, recimo Avenger, ali u tom slucaju je nemoguce bootovati VM.

Ovakvi testovi koje radi acafaca nisu merodavni. Jedno je skenirati kolekciju malware, a nesto sasvim drugo ciscenje zarazenog sistema. Kad zarazi sistem, malware koristi svoje mehanizme da bi se zastitio, slozene mehanizme, a ovi malware-i u kolekcijama su kao na streljani, cekaju da dodju na red za odstrel.

Zasto je vazno da se prvo zarazi sistem, iz prostog razloga, jer je prvo nastao malware, pa je tek onda AV dobio definicije za njega. Znaci prvo zaraziti sistem, sa iskljucenim AV-om, pa tek onda pustiti AV i videti sta ce da uradi.
Kliknite za proširenje...

Bravo majstore.....Napokon da čujem i neko pametno objašnjenje...
 
Rudjer:
Pa dobro, u pravu si da malveri koriste svoje mehanizme zastite. Ja sam bas prije neki dan bio kod jednog prijatelja, zvao me covek u pomoc, komp mu zarazen. Iz njegovog opisa ja shvatim da je u pitanju neki rogue. Ja dodjem kod njega, cvrsto uvjeren da cemo stvar rijesiti za 10 min. Ali ne lezi vraze, sto rekla stara izreka. Taj rogue je tako agresivan da ne dopusta pokretanje nijednog programa, ponekad cak ni instalaciju nekog novog. Ja pokusavao sa mbam, jedva ga instaliram i pokrenem i krene skeniranje, ali posle par minuta ovaj rogue ga srusi. I sve tako. Pa sam pokusavao sa hitman pro, sas, spyware doctor...Ma nista nisam mogao pokrenuti. I onda na kraju jedva nekako posle 2-3 sata pokusavanja uspijem pokrenuti Aviru i sa njom ocistim tu gamad.

Mada, odlike dobrog av nisu samo klanje sa virusima po kompjuteru i njihovo ciscenje, vec i sposobnost da se oni sprijece da udju u sistem.
Kliknite za proširenje...
А није ти пало напамет да покушаш да га очистиш неким ав програмом са Live CD-a... типа рецимо Dr.Web CureIt, Kaspersky Rescue CD... итд.
 
DeMikelis:
А није ти пало напамет да покушаш да га очистиш неким ав програмом са Live CD-a... типа рецимо Dr.Web CureIt, Kaspersky Rescue CD... итд.
Kliknite za proširenje...

Bio sam u gostima, podaleko od svoje kuce, pa nisam imao te stvari sa sobom. Mislio sam da nije nesto ozbiljno i da ce mbam da rijesi stvar.
 
toske1:
Pojedini malware-i se ne ponasaju isto na VM i na pravom sistemu. U stanju su da prepoznaju virtualno okruzenje. Tako da pravi testeri koriste prave sisteme kako bi analizirali pojedine malware.

.
Kliknite za proširenje...
toske1, opet lupetaš kao maxim po diviziji ,
da li ti znaš kakva je razlika između operativnog sistema instaliranog na nekoj slabijoj pentium 4 ci ili , operativnog sistema koji je instaliran na virtual pc2007?
ako izuzezmemo grafičke mogućnosti predefinisanog grafičkog hardvera na virtuelnoj mašini apsolutno nikakva.
Pre instalacije se određuje tip procesora koji će da radi na virtuelnom pc-u vhd- kao i količina RAM memorije (dedicated memory) , kao i fixna veličina virtuelnog hdd-a , a kada instaliraš OS na virtuelnom hard disku , ti moraš da radiš sve isto kao i pri pravoj instalaciji , da particionišeš disk , da ga formatiraš , da instaliraš OS , ma koji on bio , da instaliraš drajvere za zvuk , za grafiku , za mrežu sve sve sve , do zadnje komponente . internetu pristupa direktno preko NAT-a jer host igra ulogu rutera , inače u predefinisanju možeš da menjaš komponente po želji kako će sastav hardvera tvoje virtuelne mašine da izgleda
Ako bi se bilo ko ulogovao na tu mašinu u root daljinskim putem , ona se ponaša potpuno isto kao i bilo koji pravi pc , čak ima i svoj BIOS kao i pravi PC.
Tako da ne lupaj , jer razlike bukvalno NEMA.
 
Assembly kod nije isti kod physical host-a i VM-a. To je samo jedan od nacina.

ako izuzezmemo grafičke mogućnosti predefinisanog grafičkog hardvera na virtuelnoj mašini apsolutno nikakva.
Kliknite za proširenje...

Drugi nacin, hardwerske karakteristike ( sam sebe sahranjujes a ne znas to).

Hoces jos?

Necu da razglabam vise sa tobom na ovu temu. To sto ti mislis da je VM isto kao i pravi sistem to je tvoja stvar i budi u zabludi, nemam nista protiv.

edit
A da, malware moze da prati procese, jel znas sta su procesi, postoji li neki proces vezan za VM?
 
Poslednja izmena:
snejks:
Znaš , ne kaki , mislio sam samo na to da se ne mogu igraju teške igrice na virtuelnim sistemima , inače ja se virtuelizacijom sistema bavim od 2004 , godine , tako da ne prodavaj mi maglu , ni meni niti drugima.
Kliknite za proširenje...

Čak šta više, noviji WM ware virtuelni sistemi imaju mogućnost paralelnog korišćenja originalnih hardverskih resursa , pa se na njima i mogu ganjati i igrice kao i na originalnom hostu.
 
Ne kaze se cak sta vise, nego sta vise.

Znaci poceo si, mislio si ovo mislio si ono, samo nastavi da mislis.

kao i na originalnom hostu
Kliknite za proširenje...

Assembly kod nije isti kod physical host-a i VM-a. Imas li predstavu o cemu ja tebi pricam ovde?

Procesi nisu isti kod gazde i kod gosta

Kod: 
R0 vmscsi;vmscsi;c:\windows\system32\drivers\vmscsi.sys [2010-5-18 17968]
R1 vmhgfs;vmhgfs;c:\windows\system32\drivers\vmhgfs.sys [2010-5-18 128688]
R2 VMMEMCTL;Memory Control Driver;c:\program files\vmware\vmware tools\drivers\memctl\vmmemctl.sys [2010-1-22 14384]
R2 VMTools;VMware Tools Service;c:\program files\vmware\vmware tools\vmtoolsd.exe [2010-1-22 72240]
R2 VMUpgradeHelper;VMware Upgrade Helper;c:\program files\vmware\vmware tools\VMUpgradeHelper.exe [2010-1-22 191024]
R2 VMware Physical Disk Helper Service;VMware Physical Disk Helper Service;c:\program files\vmware\vmware tools\vmacthlp.exe [2010-1-22 367152]
R3 vmci;VMware VMCI Bus Driver;c:\windows\system32\drivers\vmci.sys [2010-5-18 61488]
R3 vmmouse;VMware Pointing Device;c:\windows\system32\drivers\vmmouse.sys [2010-5-18 11440]
R3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\drivers\vmxnet.sys [2010-5-18 36912]


Znas li sta je ovo > Sve ovo je unutar VM. Na sta se odnosi R0, R1, R2... ?

Naravno da ne znas jer prvi put vidis ovo, nemas blage veze na sta se ovo odnosi i to je samo jedan deo loga. Malware ume da prepozna ovo, ali ti ne umes, a hteo bi da prevaris mnogo pametnijeg od sebe. Pa nece moci ove noci pobratime, nece :mrgreen:

Znas li kako izgleda startup kod Virtualnih masina, kod bilo koje VM?
Sve ovo ima posledice i na Registry ...
Da malo, malo znas, ne bi lupetao ovde. A naravno postovi stoje pa ce uvek neko moci da procita tvoje lupetanje.

Tebe su izgleda preko veze zaposlili da radis kao administrator, nagledao sam se takvih admina na kilo, ako i jesi admin.
 
Prijavite se ili registrujte da biste poslali poruku.

Slične teme

ambidekster65
Virus sa foruma
Odgovora
4
Pregleda
293
Meklaud
Meklaud
RužnaKoLopov
Pomoc oko zastite za mobilne telefone
Odgovora
13
Pregleda
422
mario80
mario80
Smarti
Apple iPhone 16 - još jedna važna novost stiže u minut pred lansiranje
2 3 4
Odgovora
96
Pregleda
2.135
Smarti
Smarti

Back
Top