Citat:
dum-dum: Mislim da greshish. To je faza koja je vec proshla. Svaki iole pametniji pisac virusa ce pre nego shto ga pusti da ga testira kuci na sve bitnije AV softvere i nece ga pushtati dok ga ne izmeni toliko da ga nijedan njemu bitan ne prepozna.
Kako volim kad netko sam sebe pokopa :) Pa upravo zbog
toga su napravljeni heuristički algoritmi - da se spriječe trivijalne modifikacije već postojećih virusa koje bi kidiji napravili; jednom kad imaš dovoljno generičku definiciju, sve ostalo jest dodavanje šlaga na tortu.
Heuristike su napravljene zbog nedostaka klasičnih definicija u obliku virusne signature kao neke hex maske + offset na kojoj se pojavljuje. E šta sad, ako se ta maska svako malo mijenja, ako se i offset svako malo mijenja, ako je polimorfni dekriptor previše kompleksan da vi se opisao maskom - e onda na scenu dolaze heuristike koje emuliraju tok izvođenja programa inficiranog virusom, prepoznaju neke karakteristične uzorke koda (traženje adrese kernela, parsanje export tablice za adresama API-ja, pretraga za izvršnim datotekama i njihovo modificiranje...) i postavljaju
flag-ove ovisno o tome koliko je kod sumnjiv. Kad se dobije dovoljno velik broj tih "zastavica", opali se znak za uzbunu - Probably Unknown Cryptic Win32 virus detected :)
Heuristika nije tu da zamijeni klasične virusne definicije, već samo da ispuni rupu tamo gdje one imaju najviše nedostataka - u poli/oligo/meta-morfnom i kriptiranom kodu, kod crva, trojana i
spyware-a koji jako često imaju nove verzije (MyDoom, Trojan.Downloader, CWS), tj. kod onog
malware-a kod kojih klasične definicije mogu zakazati.
Citat:
Vrlo je verovatno da dolazi vreme kada na prvu loptu ce retko ko biti zashticen
Tj. dolazi vrijeme kad će onaj tko prvi detektira nove nepoznate varijante crva biti najbolje zaštičen.
Citat:
a da ce ulogu igrati brzina kojom AV kompanije razbijaju kod i postavljaju ga u bazu.
Opovrgnula te ova maloprije Analiza sa MyDoom.A kad je AV kompanijama trebalo bar 10 sati da počnu davati definicije. Za to vrijeme je crv opustošio desetke tisuća računala. A Slammer-a da ne spominjem :)
Citat:
Da se stvar mozhe reshiti heuristikom - vec bi se reshila u prilichnoj meri, a znamo da su sve heuristike daleko od dobrog reshenja...size does matters - bar kada je baza u pitanju :)
Velika baza bez dobrih heuristika je samo naizgled dobra zaštita. KAV izdaje najviše broja novih virusnih definicja tjedno od svih AV, misliš li da je to zbog razloga što moraju potencijalno nekvalitetne heuristike kompenzirati ogromnom bazom? :)
Bi li ti radije se pouzdao u NOD32 Advanced heuristics koji detektira sve novije verzije MyDoom samo preko heuristika ili bi čekao 10-ak sati da KAV izbaci definiciju? Dolazi vrijeme mreža ogromne propusnosti u kojem će se period u kojem će crvi dolaziti do vršne infekcije sve više smanjivati. Prije su to bili dani, sad su to već 10-ci sati. Za Slammera su to bile minute. Heuristike i dinamička analiza koda će postati važniji nego ikad.
Same heuristike su samo površan i prvi korak prema bihevioralnoj analizi širenja
malware-a. Došlo je vrijeme kad više neće biti nemoguće tražiti malicozne programe koji se nalaze na sustavu čisto po bihevioralnoj analizi pojedinih procesa i njihovom reverznom inspekcijom do izvora infekcije.
Imam još ponešto reći o ovome, ali odoh spavat, sutra imam rano labose, čujemo se sutra!
PS: O tome su heuristike vrlo bliska budućnost sve više detekcije nije samo moje mišljenje, već dosta cijenjenih AV analitičara. Sutra pejstam par citata :)