Zdarza sie że wysyłamy podejrzany plik do labu np aviry. Jak w labach są te pliki testowane? Uruchamia sie je w jakimś monitorze systemu który nadzoruje co plik robi, czy moze zagląda sie do kodu tgo programu? (ale zaglądanie do kodu z tego co wiem nie jest zgodne często z licencją programu). Ciekawi mnie też czy laby antiwirusowe badają też pod kątem szpiegów, bo niepozorne "aktualizowanie" moze być właśnie ściąganiem syfu na dysk a w labie stwierdzą ze to zwykła aktualizacja, ogólnie to przecież program mozę coś wysyłać bez naszej wiedzy. Najlepiej jak program sie sam nie próbuje aktualizować bez zgody użytkownika.
Co do zaglądania do kodu to zbycho ci wszystko wyjaśni. Pliki są badane pod kątem złośliwych funkcji i zachowania.
nie wiem jak w innych ale labie aviry podchodzą kompleksowo do analizy plików
Cytat: ale zaglądanie do kodu z tego co wiem nie jest zgodne często z licencją programu
Fragment ustawy Prawo autorskie.
Cytat: 2. Nie wymaga zezwolenia uprawnionego:
1) sporządzenie kopii zapasowej, jeżeli jest to niezbędne do korzystania z programu komputerowego. Jeżeli umowa nie stanowi inaczej, kopia ta nie może być używana równocześnie z programem komputerowym,
2) obserwowanie, badanie i testowanie funkcjonowania programu komputerowego w celu poznania jego idei i zasad przez osobę posiadającą prawo korzystania z egzemplarza programu komputerowego, jeżeli, będąc do tych czynności upoważniona, dokonuje ona tego w trakcie wprowadzania, wyświetlania, stosowania, przekazywania lub przechowywania programu komputerowego,
Mówiac krótko,wolno.I nie tylko w polskim prawie.Gdyby było inaczej Microsoft nie publikował by łat do swojego systemu
A jak sie to robi?Nie" kompleksowo",bo to słowo nic nie mówi.
Przeglada sie kod i szuka procedur ukrycia i przerwań oraz uruchamia w neutralnym srodowisku by przsledzić wpływ na nie.
A poniewaz wiekszosć tego to klony podobnych procedur więc analiza nie jest aż tak trudna.
Tysiące linii kodu analizować jest czasochłonne a plików codziennie pewnie dużo jest wysyłanych łącznie. Zawsze myślałem że właśnie patrzą do kodu ale później pojawiły sie wątpliwości czy im sie chce i że może tylko uruchamia sie w piaskownicy i patrzy jak sie program zachowuje.
Do takiej analizy deasembluje sie kod?
Przy okazji mam pytanie - znacie jakiś dobry program do monitorowania programów ? - tzn że uruchamiam pod kontrolą tego programu jakiś program który chcę monitorować i wszelkie czynności wykonywane przez ten program na dysku (m.in. tworzenie plików i zmiany w rejestrze) oraz takie jak np podpinanie sie pod jakiś proces czy czytanie z pamięci czegoś, ogólni wszystko co robi ten program - by to wszystko było zapisywane - co jak i gdzie. Byłoby to dobre rozwiązanie przy testowaniu nowych programów - by wiedzieć który co robi.
Cytat: Przy okazji mam pytanie - znacie jakiś dobry program do monitorowania programów ? - tzn że uruchamiam pod kontrolą tego programu jakiś program który chcę monitorować i wszelkie czynności wykonywane przez ten program na dysku (m.in. tworzenie plików i zmiany w rejestrze) oraz takie jak np podpinanie sie pod jakiś proces czy czytanie z pamięci czegoś, ogólni wszystko co robi ten program - by to wszystko było zapisywane - co jak i gdzie. Byłoby to dobre rozwiązanie przy testowaniu nowych programów - by wiedzieć który co robi.
Ja tam czasami oglądam zachowania plików na
[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat: Tysiące linii kodu analizować jest czasochłonne
Jakie tysiace linii..
Sprawdza się charakterystyczne linie kodu.To znaczy takie które program powinien wykonać by być uznanym za niebezpieczny.
Np. odwołania do przerwań,wstawianie na stos adresu,skoki z powrotem,zmiany w rejestrach debugingu procesora itp.
Ile się tego uczyłeś zbycho?
Mówił że pracował z komputerami od kołyski, to znaczy ZX Spectrum, Amiga, Bosman :p.
i tak Commodore było najlepsze! Właczyłem grę, idę na spacer, wracam do domu i gra się uruchamia.
[Aby zobaczyć linki, zarejestruj się tutaj]
tutaj jest filmik prezentujący możliwości C64 - 0:19-0:40.
Cytat: i tak Commodore było najlepsze! Właczyłem grę, idę na spacer, wracam do domu i gra się uruchamia
Co ty opowiadasz?W commodore gra czy tez program startował natychmiast po wczytaniu go z kasety magnetofonowej lub kartridża.Problemem czasowym było tylko wyszukanie go na taśmie ponieważ przeszukiwanie było liniowe i jesli coś było na końcu no to magnetofon musiał ją do końca przewinać.
A i tak jak na procesor osmiobitowy o częstotliwości taktowania parę tysięcy razy mniejszej niż współczesne,był dobry,jak na tamte czasy.
Cytat: Ile się tego uczyłeś zbycho?
Czego?Bo nie rozumiem pytania.
1.No tak, ale od tych kresek na ekranie średnio przez 20 minut, można zwariować. I jeszcze grzebanie śrubokrętem w głowicy i przewijanie kasety.
2. Tego wszystkiego, informatyki.
Nie pamietam bym z ładowaniem mial problem.Kazdy program miał na poczatku tzw.header i przeszukanie tasmy polegało na ich odczytywaniu.Tasmy były 60 min. i nawet ich szybkie przeszukanie troche trwało.Jeśli ktos miał magnetofon kasetowy to pamieta jak to z przewijaniem bywało.
Kiedy w latach 90-tych przeskoczyłem na ibm-a to tak jakbym się z osła przesiadł na wyścigowego wierzchowca
Cytat: Jakie tysiace linii..
Sprawdza się charakterystyczne linie kodu.To znaczy takie które program powinien wykonać by być uznanym za niebezpieczny.
Np. odwołania do przerwań,wstawianie na stos adresu,skoki z powrotem,zmiany w rejestrach debugingu procesora itp.
Powiedzmy że znalezione zostaną te podejrzane procedury, wtedy następuje ręczne sprawdzenie?