Как стать автором
Обновить

Комментарии 27

За чуть более чем 1 час уже было опубликовано 3 топика про уявзимости.

Сегодня и вправду день уязвимостей на хабре.
Видать программисты вчера наславу погуляли ;-)
Щас придут ребята из ЛК и начнут выражать Вам дизреспекты =))
Небось ребята из ЛК уже получили по голове и вовсю выкатывают новый патч
А вы это не заметите — обновления эмулятора выходят вместе с обычными базами.
Потенциально положена на лопатки эвристика. Радует, что она была так хороша, что единственной отмечала потенциально небезопасное действие из всех антивирусов, и печалит, что её так просто обошли.
Какой же IRabinovich молодец! Дать инвайт за статью, где опускается один из главных конкурентов. Браво! :)
Да, я тоже заметил :) Опубликовал ссылку на ВИ — она была ещё в песочнице. И сразу отхабрили :) А по инвайту сразу понял, кто, от и даже почему ;)
НЛО прилетело и опубликовало эту надпись здесь
При чём здесь скудность эмуляции? Тут тема была в том, что эмуляция проводилась на недостаточно низком уровне и легко перехватывалась.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Данная статья посвящена эмулятору или обнюхивателю — как угодно. При чём здесь проактивка? :)
… и что-то мне подсказывает, что мы говорим о разных вещах.
Проактивная защита — защита которая работает в рантайме и контроллирует вызовы апи программой, а эмулятор это часть проверки файла на диске, когда сам антивирус берет файл и скрытно раскручивает его на своей виртуальной машине, анализируя как апи, так и промежуточные сигнатуры.
НЛО прилетело и опубликовало эту надпись здесь
A сейчас лк выложили патч «b» для 2011 версии, мне в нем дырки считать уже надоело =)
Респект!
Хоть я и не системный программист, тем более не хакер, читать такие посты одно удовольствие.
Ребятки, такой нескромный вопрос, на главной сие появится должно, как я понял, по достижения определенного количества баллов, так вот, есть где глянуть текущее? Спасибо.
НЛО прилетело и опубликовало эту надпись здесь
Эмм, а разве этот блог не тематический? =) Вроде же в него и перенёс.
По-моему эмуль нужен для того, чтобы ловить поделки всяких чудаков с конструкторами, найденными в Инете, а также китайские, которые берут не красотой, а массой. Против серьезных вещей создаются другие линии обороны; эмуль — самая первая.
А стек кто будет балансировать?
Это Вам не _cdecl!
А зачем? Ведь до возврата из функции дело-то все равно не дойдет.
Ну, в примере — согласен.
Но в «реале» эти хаки — зло, источники трудно-уловимых ошибок.
ну и RtlLockHeap не только с LocalSize-a вызывается.
В «реале» всё что надо было бы сделать — восстановить оригинальные байты хученой функи =)
>>>В «реале» всё что надо было бы сделать — восстановить оригинальные байты хученой функи =)
В «реале-product code» такое использовать нельзя.
А такие проблемы надо решать «долгими feedback-ами/wishlist-aми» с производителями.

P.S.: если интересно- попробуйте также выполнение кода с:
1) TLS или DllMain(для .dll);
2) задействовать SEH;
3) выполнение со стека или кучи.
Помню года 4 назад антивирусы TLS даже не знали.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.