0x42
Форумчанин
- Регистрация
- 05.05.2025
- Сообщения
- 41
- Реакции
- 3
Как хакеры могут обойти детект антивирусов.
Статья предназначена для ознакомления и для того, чтобы вы смогли правильно настроить антивирусное ПО у себя на ПК.
Рассмотрим статические детекты:
Обычно такой детект использует облако антивирусов, хеш файла или части файла отсылаются в облако и на основе решения в облаке, происходит детект.
Также на основе хеша формируются такие вещи как репутация файла и т.д.
Очень удобно при детектировании новых угроз.
Но обойти такой вид детекта достаточно легко, добавив, например несколько байт кода в конец файла, или как-то поменять код самого вредоноса. Помните об этом, чтобы обеспечить себе защиту от таких вот ситуаций. Зная, как поступает хакер, вы сможете быть готовы к отражению любой атаки.
У злоумышленников существуют механизмы добавления случайно сгенерированного кода в разные части вредоносного файла. Поэтому некоторые файлы при профессиональном подходе к обеспечению защиты нужно проверять на сам код, не изменился ли он. Тогда и уровень вашей защиты будет куда лучше.
2.Детект при помощи эмуляции кода:
Данный вид детекта тоже использует сигнатуры, но проверяет не просто файл целиком например, а пытается запустить файл в виртуальной среде и тем-самым добраться до сигнатуры вредоноса.
Злоумышленникам этот детект сложнее уже сложнее, ведь в таком случае даже если разбавить код вредоноса каким-то случайно сгенерированным кодом, антивирус всё равно доберётся до вредоносного кода. Как раз этот вид детекта защищает ваш компьютер намного лучше.
В процессе работы антивирус анализирует что делает программа: выходит-ли она в сеть, как использует файловую системы и т.д.
И на основе этого принимается решение о детекте. То есть, выбирается алгоритм защиты.
Причём у разных антивирусов всё происходит по-разному. Например, Езет в основном сразу блокирует и удаляет программу, у Касперского есть разграничения доступа для программ, например, "Калькулятору" не нужно выходить в сеть, и Касперский просто заблокирует саму попытку выхода в сеть, при этом калькулятор будет работать. То есть, у Касперского более подробный подход к анализу ПО.
Какие-то опасные действия разумеется блокируются и совсем опасные программы - удаляются.
Данная технология появилась сравнительно недавно и очень осложнила жизнь хакерам, ведь тут прячь не прячь вредоносный код, но поведение всё выдаст. И это нам, простым пользователям, играет в плюс в копилку безопасности.
Также существуют различные уязвимости и в самих антивирусах и системы.
И ещё не стоит забывать про социальную инженерию, когда пользователь сам отключает антивирус. Да-да, мы про тебя, рисковый любитель репаков с играми =)
Есть ещё такие вещи, когда, например, если если злоумышленник получает доступ к серверу или входит в корпоративную сеть, то он может либо сам выключить антивирус, либо добавить в чёрный список своего вредоноса. И с точки зрения системного администратора, эти слабые места дожны быть всегда под контролем. Пришел на работу – проверил антивирус. То же самое делается в конце рабочего дня.
Так-что злоумышленники могут использовать разные противоправные методы, будьте внимательны и бдительны, чтобы не заразить свой ПК вредоносным ПО!
2.Ну и последний вид детекта, это "Проактивная защита", принцип действия такой-же что и "Детект по поведению", только в этом случае пользователь сам принимает решение.
Например, если антивирус обнаруживает доступ какой-то программы в сеть, антивирус может спросить действие у пользователя. Помните, как часто вас спрашивает Касперский, разрешить, удалить или заблокировать доступ? Вот как раз это и есть проактивный тип. То есть антивирус работает в паре с пользователем.
Хакеры, к сожалению, научились обходить такой тип, так же, как и детекты по поведению. Злоумышленники также используют способ "достань пользователя", когда, например, пользователю постоянно выскакивает табличка с выбором действий. По после 25 нажатий кнопки «заблокировать» он просто сдается и жмет «разрешить».
На антивирус надейся, а сам не плошай, на все средства защиты, хакеры придумают как обойти, кроме ваших собственных мозгов. Пользуйтесь ими всегда, не юзайте подозрительное ПО и не распаковывайте и не запускайте странные файлы.
Кстати, всё описанное относится и к мобильным системам, всегда будьте на чеку, кругом цифровые враги, которые так и хотят на вас нажиться.
Статья предназначена для ознакомления и для того, чтобы вы смогли правильно настроить антивирусное ПО у себя на ПК.
Итак для начала, какой бывает детект у антивирусов
Детекты бывают статические и динамические.Рассмотрим статические детекты:
1.Детект по сигнатуре
Тут всё просто, антивирусные лаборатории добавляют хеш вредоносного кода, причём хеш может-быть как на файл целиком, так и на его части, например, какие-то функции кода.Обычно такой детект использует облако антивирусов, хеш файла или части файла отсылаются в облако и на основе решения в облаке, происходит детект.
Также на основе хеша формируются такие вещи как репутация файла и т.д.
Очень удобно при детектировании новых угроз.
Но обойти такой вид детекта достаточно легко, добавив, например несколько байт кода в конец файла, или как-то поменять код самого вредоноса. Помните об этом, чтобы обеспечить себе защиту от таких вот ситуаций. Зная, как поступает хакер, вы сможете быть готовы к отражению любой атаки.
У злоумышленников существуют механизмы добавления случайно сгенерированного кода в разные части вредоносного файла. Поэтому некоторые файлы при профессиональном подходе к обеспечению защиты нужно проверять на сам код, не изменился ли он. Тогда и уровень вашей защиты будет куда лучше.
2.Детект при помощи эмуляции кода:
Данный вид детекта тоже использует сигнатуры, но проверяет не просто файл целиком например, а пытается запустить файл в виртуальной среде и тем-самым добраться до сигнатуры вредоноса.
Злоумышленникам этот детект сложнее уже сложнее, ведь в таком случае даже если разбавить код вредоноса каким-то случайно сгенерированным кодом, антивирус всё равно доберётся до вредоносного кода. Как раз этот вид детекта защищает ваш компьютер намного лучше.
Как злоумышленники могут обойти защиту антивруса
Часто хакерами используются приёмы атаки на ресурсы системы, всё-дело в том что антивирус ограничен в ресурсах, он не может проверять файл очень долго, поэтому в качестве обхода злоумышленники юзают всякие задержки, выделение большого числа памяти и т.д. то есть, они намеренно тормозят ОС, чтобы та не дала антивирусному ПО правильно защитить ваш ПК.Теперь рассмотрим динамические детекты антивирусов
1.Детекты по поведению:В процессе работы антивирус анализирует что делает программа: выходит-ли она в сеть, как использует файловую системы и т.д.
И на основе этого принимается решение о детекте. То есть, выбирается алгоритм защиты.
Причём у разных антивирусов всё происходит по-разному. Например, Езет в основном сразу блокирует и удаляет программу, у Касперского есть разграничения доступа для программ, например, "Калькулятору" не нужно выходить в сеть, и Касперский просто заблокирует саму попытку выхода в сеть, при этом калькулятор будет работать. То есть, у Касперского более подробный подход к анализу ПО.
Какие-то опасные действия разумеется блокируются и совсем опасные программы - удаляются.
Данная технология появилась сравнительно недавно и очень осложнила жизнь хакерам, ведь тут прячь не прячь вредоносный код, но поведение всё выдаст. И это нам, простым пользователям, играет в плюс в копилку безопасности.
Почему защита несовершенна
Во-первых, у почти всех антивирусов есть белые списки программ, например, браузер почти везде добавлен в белый список, сделав атаку на процесс браузера, вредоносное ПО может "притвориться" браузером и обойти защиту. Как раз это нам с вами нужно всегда и отслеживать.Также существуют различные уязвимости и в самих антивирусах и системы.
И ещё не стоит забывать про социальную инженерию, когда пользователь сам отключает антивирус. Да-да, мы про тебя, рисковый любитель репаков с играми =)
Есть ещё такие вещи, когда, например, если если злоумышленник получает доступ к серверу или входит в корпоративную сеть, то он может либо сам выключить антивирус, либо добавить в чёрный список своего вредоноса. И с точки зрения системного администратора, эти слабые места дожны быть всегда под контролем. Пришел на работу – проверил антивирус. То же самое делается в конце рабочего дня.
Так-что злоумышленники могут использовать разные противоправные методы, будьте внимательны и бдительны, чтобы не заразить свой ПК вредоносным ПО!
2.Ну и последний вид детекта, это "Проактивная защита", принцип действия такой-же что и "Детект по поведению", только в этом случае пользователь сам принимает решение.
Например, если антивирус обнаруживает доступ какой-то программы в сеть, антивирус может спросить действие у пользователя. Помните, как часто вас спрашивает Касперский, разрешить, удалить или заблокировать доступ? Вот как раз это и есть проактивный тип. То есть антивирус работает в паре с пользователем.
Хакеры, к сожалению, научились обходить такой тип, так же, как и детекты по поведению. Злоумышленники также используют способ "достань пользователя", когда, например, пользователю постоянно выскакивает табличка с выбором действий. По после 25 нажатий кнопки «заблокировать» он просто сдается и жмет «разрешить».
Выводы
Мы вкратце рассмотрели виды детектов и способы обхода, какой из этого можно сделать вывод? Пишите в комментариях!На антивирус надейся, а сам не плошай, на все средства защиты, хакеры придумают как обойти, кроме ваших собственных мозгов. Пользуйтесь ими всегда, не юзайте подозрительное ПО и не распаковывайте и не запускайте странные файлы.
Кстати, всё описанное относится и к мобильным системам, всегда будьте на чеку, кругом цифровые враги, которые так и хотят на вас нажиться.
