Защищаемся от хакеров

  1. Weblancer
  2. Форум фрилансеров
  3. Полезное
Олег Казакевич
702 сообщения
#15 лет назад
Цитата ("raznomir"):
Не всегда, есть вирусы, что восстановят себя себя даже после форматирования.


Никогда о таком не слышал. Разве это возможно ?
Роман К.
6970 сообщений
#15 лет назад
Цитата ("raznomir"):
Цитата ("birusa"):
Допустим, поймала машина вирус (есть подозрение), а антивирус не нашел. Поможет ли снос OC?

Не всегда, есть вирусы, что восстановят себя себя даже после форматирования.
Раньше приходилось даже вытаскивать винт и форматировать на незараженной машине.

Учитывая, что установка XP всё равно идёт при загрузке с чистого диска, вряд ли эта мера имеет смысл.
Ольга М.
213 сообщений
#15 лет назад
Цитата ("raznomir"):
Не всегда, есть вирусы, что восстановят себя себя даже после форматирования.
Раньше приходилось даже вытаскивать винт и форматировать на незараженной машине.


Подозревала, что такое тоже возможно, но в реальности об этом слышу впервые. А сейчас есть такие вирусы, которые способны восстановится при установке чистой системы, после полного сноса старой системы и форматирования диска?
Олег Казакевич
702 сообщения
#15 лет назад
Нет, можно всякое, конечно, предположить.
Например, вирус, перезаписывающий BIOS (это о-очень трудно технически).
Тогда переустановка не поможет.

Ох уж эти вирусы ! Чувствую, недалеко то время, когда они будут работать даже при выключенном компе !
Роман К.
6970 сообщений
#15 лет назад
Цитата ("olmi"):
Цитата ("raznomir"):
Не всегда, есть вирусы, что восстановят себя себя даже после форматирования.
Раньше приходилось даже вытаскивать винт и форматировать на незараженной машине.

Подозревала, что такое тоже возможно, но в реальности об этом слышу впервые. А сейчас есть такие вирусы, которые способны восстановится при установке чистой системы, после полного сноса старой системы и форматирования диска?

Сильно сомневаюсь.
Вне ОС зловред может существовать либо в BIOSe, либо в MBR или загрузочном секторе, либо на другом разделе.
Попытки создания вирусов для BIOS предпринимались неоднократно, но, насколько я знаю, широкого распространения такие продукты не получили: слишком много версий BIOSов, слишком мал там объём памяти, а с учётом эффективности тупых троянов эта схема получается слишком неэффективной.
MBR при форматировании затирается, как и загрузочный сектор и прочие служебные области раздела. Т.е. там ничего остаться не может.
На другом разделе зловреды, конечно, могут сохраниться. Но в свежеустановленную систему они вряд ли пролезут самостоятельно, поэтому достаточно после установки просканировать эти разделы любым антивирусом (что, конечно, не даст гарантии от свежих зловредов, которых нет в базах). Пожалуй, это самый реальный вариант, когда зловред может "пережить форматирование".

Есть, конечно, мифический вариант, когда зловред прячется в какой-то области памяти, в которой и переживает форматирование, после чего быстренько внедряется в MBR или бут-сектор... Но этот механизм абсолютно неэффективен в случае загрузки с установочного диска (а при переустановке XP так делается всегда).

Если кто-то просветит относительно других способов пережить форматирование - буду признателен.
Олег Казакевич
702 сообщения
#15 лет назад
Цитата ("voron_76"):
а с учётом эффективности тупых троянов эта схема получается слишком неэффективной.




Из других способов (миф, конечно) - заражать install-ы, которые лежат на других логических дисках.
Роман К.
6970 сообщений
#15 лет назад
Цитата ("okman"):
Из других способов (миф, конечно) - заражать install-ы, которые лежат на других логических дисках.

Это не миф. Файловые вирусы как раз стремятся заразить всё, до чего могут дотянуться. Отсюда - восторженные легенды, как некий антивирус выловил "полтыщи вирусов!!!": это обычная картина при заражении файловым вирусом. В таком виде зверь может "пережить форматирование". Но файловые вирусы, как я уже говорил, встречаются в последнее время редко.
Вадим Т.
3240 сообщений
#15 лет назад
Оффтопик
Цитата ("okman"):
Картинку в Photoshop-е делали ?

Это реальное фото.
А фотошопом не пользуюсь вообще, его у меня нет и не было, так как не по карману...
Вадим Т.
3240 сообщений
#15 лет назад
Цитата ("voron_76"):
Антивирус безусловно необходим только в одном случае: для защиты от старых (заведомо присутствующих в базах) файловых вирусов - поскольку от этой угрозы почти невозможно защититься другим способом

Другой вопрос, что "старым" вирусом считается тот, который срарше 2-3 дней. Вирусные базы антивирусов обновляются очень часто. То есть, от чего-то совсем свежего не защитит, от вчерашнего - уже защитит 50 на 50, от позавчерашнего - уже скорее всего защитит.

Цитата ("voron_76"):
Поправьте меня, специалисты, но по-моему антивирусы против эксплойтов эффективны чуть более чем никак. Именно поэтому даже эксперты по безопасности рекомендуют отказываться от антивирусов и уделять внимание настройкам безопасности: львиная доля вторжений сейчас идёт именно через эксплойты и с помощью троянов, а против этих угроз антивирусы слишком неэффективны.

Я не специалист, но поправлю. Точнее, приведу пример.
По работе мне приходится заходить на очень разные сайты, часто на случайные.
На рабочем инстансе у меня стоит F-Secure, который, когда я попадаю на небезопасный сайт с JS эксплоитом, вместо сайта выводит страницу с текстом, что сайт небезопасен.
В основном, этот антивирус использует базу эксплоитов (работает аналогично проверке сигнатур файловых вирусов и троянов). Также используется база зараженных сайтов, дополнительно.
Еще можно включить эвристику, но недостаток эвристики, особенно если поставить параноидальный уровень - это масса ложных срабатываний на нормальных сайтах. Это плата за более высокий уровень безопасности.

Жаль что бесплатная Avira AntiVir не включает в себя WebGuard, а только платная Avira AntiVir Premium включает. Я еще думаю как решить этот вопрос, чтобы найти достойный бесплатный продукт для защиты от такого вида угроз.
Шляпникова Дина
130 сообщений
#15 лет назад
Спасибо большое за полноценный гайд

Я не так сильно следила за безопасностью.. и на втором компьютере стоял КИС без новых баз.. В итоге что-то подхватила и почти накрылся хард. эх. Но сейчас уже все вылечили)


*Фотография позитивная ^_^*
Евгений О.
2989 сообщений
#15 лет назад
Цитата ("okman"):
Цитата ("raznomir"):
Не всегда, есть вирусы, что восстановят себя себя даже после форматирования.?

Никогда о таком не слышал. Разве это возможно ?

Возможно. Причем есть несколько способов. Наверное наиболее распространенный - запись в системную область диска. Обычно там не сам вирус, а инициатор обеспечивающий новую загрузку вируса и его запуск. Идея основана на том, что обычно форматируют винт без изменений в его разбиении. При этом большая вероятность, что часть системной области останется не тронутой.
Если хотите гарантированно очистить винт, надо убивать старые и создавать новые все логические диски, разделы и т.д..

зы Хотя и это не панацея
Александр С.
1050 сообщений
#15 лет назад
Цитата ("voron_76"):
Но файловые вирусы, как я уже говорил, встречаются в последнее время редко.


А почему редко? Да потому что появились флешки, спам, разводы типа смс-шпионов и т. д., да еще и школьники пишут "вирусы", они-то уж точно не знают структуру PE.

Цитата ("voron_76"):
Сильно сомневаюсь


А как же Рутковская и ее знаменитая Голубая Пилюля? Я думал, что она записывается в BIOS, может ошибаюсь. А про руткит вшитый производителем в БИОС каких-то ноутбуков, который после установки винды сам себя восстанавливает не слышали? Мне один хакер на такое статейку присылал, точно тоже не помню уже.

Цитата ("voron_76"):
слишком много версий BIOSов, слишком мал там объём памяти


такие вирусы будут отлично работать, если они будут хорошими бэкдорами. На каком-то сервере будет лежать база доступных биосов например. После восстановления из биоса вирус может скачать свое тело с сервера. Или слишком сложно?
Роман К.
6970 сообщений
#15 лет назад
Цитата ("LSD-Team"):
Цитата ("voron_76"):
Но файловые вирусы, как я уже говорил, встречаются в последнее время редко.

А почему редко? Да потому что появились флешки, спам, разводы типа смс-шпионов и т. д., да еще и школьники пишут "вирусы", они-то уж точно не знают структуру PE.

Да. А ещё - потому что доля вирусов, написанных "школьниками" для развлечения становится всё меньше. Вирусописательство становится бизнесом, и тут действуют те же законы, что в любом другом бизнесе: минимальные необходимые издержки. Если тупой троян, написанный с пятнадцатью багами и живущий до первого обновления сигнатур, себя окупает и приносит хорошую прибыль - нафига заморачиваться и писать что-то сложное и красивое?

Цитата:
Цитата ("voron_76"):
Сильно сомневаюсь

А как же Рутковская и ее знаменитая Голубая Пилюля? Я думал, что она записывается в BIOS, может ошибаюсь. А про руткит вшитый производителем в БИОС каких-то ноутбуков, который после установки винды сам себя восстанавливает не слышали? Мне один хакер на такое статейку присылал, точно тоже не помню уже.
Цитата ("voron_76"):
слишком много версий BIOSов, слишком мал там объём памяти

такие вирусы будут отлично работать, если они будут хорошими бэкдорами. На каком-то сервере будет лежать база доступных биосов например. После восстановления из биоса вирус может скачать свое тело с сервера. Или слишком сложно?

Поэтому подобные разработки - да, существуют, но широко не применяются. Потому что сложно - а значит, дорого. А потому - бессмысленно, поскольку более простые и дешёвые решения себя оправдывают.

А вообще... мне кажется, что основную картину мы вообще не видим. По-настоящему серьёзные вещи просто не попадаются никому в руки. Жду повсеместного распространения аппаратной виртуализации в процах и захвата мира руткитами на этой технологии.
Роман Р.
132 сообщения
#15 лет назад
Цитата ("tvv"):
В случае обнаружения попытки взлома имеет смысл оповестить те сервисы, которые были затронуты.

оповещать нужно, но и своими силами нужно пытаться вернуть потерянное..
для примера: "Как увели мои деньги с кошелька Яндекса "
человек рассказывает как у него украли 9500 рублей со счета на Яндексе...
история не очень приятно закончилась.. для человека! ему ничего не вернули
Сергей Б.
21 сообщение
#15 лет назад
Цитата ("tvv"):
Цитата ("raznomir"):
Еще напомню, что для популярных вебманей, файл ключей надо сохранить куда-то в надежное место, а на родной машине вытереть совсем.
Для постоянной работы он не нужен - только для активации с другого оборудования или когда забыли пароль.

Да, поддерживаю. Я тоже удаляю ключи WM сразу после установки и активации.
Общий принцип: то, что в данный момент не нужно, и что не желательно показывать другим - всегда лучше куда-то переносить, лучше на другой комп, в крайнем случае помещать в архив с длинным и сложным уникальным паролем.

Пользуюсь Кипер лайтом. Ключ хранится на той же машине (постоянно удалять - слишком неудобно) + на флэшке и на ноутбуке, НО ключ хранится в зашифрованном архиве (rar) + сам ключ также под сложным паролем, т.е. при входе в систему WM, а так же при оплате требуется ввод этого пароля.
И еще, раз уж речь о безопасности: на ПК у меня стоит Авира премиум, а на ноутбуке, Нод 4... , недавно при попытке выхода на сайт провайдера 1gb.ru Нод ничего не выдает, а Авира блокирует, пишет: "...Запрошенный URL был идентифицирован как потенциально опасная веб-страница...". И это сильно смущает, особенно после того как прочитал про JS эксплоиты.
Артем Л.
11416 сообщений
#15 лет назад
Хорошая статья. Tvv, спасибо...
Денис Ш.
7132 сообщения
#15 лет назад
Цитата ("raznomir"):
Не всегда, есть вирусы, что восстановят себя себя даже после форматирования.


это если форматировать только системный диск, а остальные не трогать.

Цитата ("raznomir"):
форматировать на незараженной машине


интересно, а где у зараженной машины вирусы хранятся? на винте. тут вы что-то путаете. (про биос не рассматриваем, как чисто академические случаи таких вирусов). да и то, ношение винта в таком случае ничего не даст.

Цитата ("elosoft"):
зы Хотя и это не панацея


если машину перезагрузить с чистого лайф-сиди, и перебить все партиции, то я не вижу способа заразить такой винт старым вирусом без повторной его загрузки из вне.
Первая
12