Форум ''Интернет и Право''
29 Ноября 2024, 00:45:42 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 ... 3 4 [5] 6   Вниз
  Печать  
Автор Тема: Как разбить в суде Заключение эксперта...  (Прочитано 31353 раз)
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #40 : 05 Марта 2005, 06:08:09 »

Любой грамотно написанный новый вирус в процентах 80 никаким антивирусом не определится. Даже при включенных "эвристическх анализаторах", избыточных сканироваиях и т.п.  В некторых случаях его можно обнаружить при начале работы по контролю активности приложений, но эффективность этого будет зависить от грамотной настройки контролирующего ПО (как и в сетевых экранах)
А общей рекомендации как ловить "неуловимые вирусы не было и быть не может. Например, я знаю как обойти проверку AVP заархивированых файлов, но проверка McAffre
покажет заражение (для известного виря разумеется) - у нее принцип определения архива иной и т.п. Стандартное определения вируса производится по анализу сигнатур (в принципе даже для определения полиморфных вирусов), а все остальные прибамбасы - для проф-в ,четко представляющих что будет стоять за фразой типа "файл ХХХХ возможно инфицирован вирусом YYY"
Не хочу обижать экспертов, но лично я видел очень редко специалиста хорошо представляющего себе как может отработать вирус (да это не только экспертов касается), чтобы это четко понимать надо самому с отладчиком постояно работать,  представлять как работают современые технологии, причем на самом низком уровне - железа, следить за новостями в "хакерских" кругах и т.п.
"Стоимость" такого спеца у нас в регионе не менее 1,5 -2 тысяч $. Например, служа в МВД я не мог долго удерживать выросшего до этой квалификации спеца, сейчас работая в "финансово-помышленной " организации могу, да и то их очень ограниченное количество - чтобы достичь этого уровня надо быть "фанатом".
Что касается "чистоты" машины эксперта, то я считаю что как минимум необходимыми (но не достаточными) условиями этого должны быть
1. наличие 3-4 известных антивирусов с регулярным обновлением версий и баз
2. наличие  проверки целостности системы и применение контроля изменения файлов ( в этом случае также нужно быть спецом, чтобы определить какие файлы могут меняться и при каких случаях (реестр ,например, в Win , системные области файловой системы и т.п.)
3. наличие СЗИ типа I-key
4. четкое выполнение организационно-технических мероприятий и инструкций (запрет выхода в ИНЕТ, подключения к ЛВС, работа с "левыми " носителями и т.д. и т.п.)
PS Все написанное исключительно ИМХО
Записан
ezhfan
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 73


С любовью к ближнему

177757775
E-mail
« Ответ #41 : 06 Марта 2005, 00:33:07 »

Когда я писал о "неуловимых" вирусах, я имел в виду известные вирусы, защищенные упаковщиком с помощью метода, описанного в одном из номеров журнала "Хакер":
http://www.xakep.ru/post/13878/default.asp
А может быть, и не в одном - я их редко покупаю  Смеющийся

Если кратко - в статье говорится об упаковке и дальнейшей модификации, такой, чтобы антивирус не смог распаковать вирус.

Под "хитрым кодом" я подразумевал, например, код, который правильно сдампит вирусный процесс из памяти и запишет его на диск. Тут-то Spider Guard его "голенького" и схватит  
 Показывает язык
Написать такой код достаточно просто, большинство известных вирусов, перепакованных по "хакерной" инструкции, таким способом поймать можно.
Записан
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #42 : 09 Марта 2005, 08:54:57 »

Да я это понял. Но в данном случае это к AVP относится, не   все тоьлко  им пользуются ( я кстати про это и писал)
Не понял, что вы имели в виду под
....Под "хитрым кодом" я подразумевал, например, код, который правильно сдампит вирусный процесс из памяти и запишет его на диск..... - , видимо по сути это заплатка на AVP? Так пусть ее господин Касперский пишет, мы же не пишем патчи Гейтсу)))))
а "обход" Каспера упаковщиком это один из "эксплойтов", в принципе у него  и иные баги найти можно ,я думаю.
(например уже появились сообщения как отключать монитор на версии 5.157). Но это только AVP, а у меня, например Симантек)))) и т.д. И все это относится к тем ,кто известные (по крайней мере AVP) вирусы "впихнуть" вам собирается
А уж если я пишу виря, то захочу,чтобы его почти никто из антивирусников не увидел)))). Поэтому не буду использовать тела известных вирусов и т.п.
Записан
ezhfan
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 73


С любовью к ближнему

177757775
E-mail
« Ответ #43 : 09 Марта 2005, 18:00:18 »

Я пользуюсь DrWeb, но не в этом суть. Если дампить процесс из памяти на диск, то, как правило, он дампится в распакованном виде. Если антивирус мониторит запись на диск, то уж запись распакованного вируса он отловит, причем неважно, чем тот был запакован.
Думаю, монитор, который сканировал бы память каждого процесса, должен сильно тормозить, так что возможность его постоянного использования я отбрасываю - речь шла о подкотовке машины для проведения экспертизы.
Новый вирус определяется мной намного проще:
1) Упакован ли файл, если упакован, то возможно вирус.
2) Если был упакован, распаковываем, смотрим дальше.
3) Какие API использует данная программа? Зачем безобидному ускорителю интернета функция CreateRemoteThread? Улыбающийся
4) Если сомнения остаются, загружаем распакованный код в IDA и изучаем его на предмет того, что он делает.
5) Если вирус, пакуем его zip-ом с паролем и шлем это счастье через WEB-интерфейс на http://www.dialognauka.ru
Они добавляют вирус  в базу в этот же день, обновляем базу и ЛЕЧИМ Улыбающийся
Записан
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #44 : 10 Марта 2005, 05:49:41 »

Понятно. Действительно, когда сканер того же DRWEb сканит память - занятие долгое, а если еще и в реальном времени. Однако все же думаю, не все новые вирусы по анализу используемых API  функций опр-ть можно. Да собствено суть не в этом - вы что, со всеми упакованными файлами такие опрерации проделываете? А зачем, если я написал новый вирус, его вообще паковать?(речь-то шла как я понимаю, об "обходе" антивирусных ПО известными вирями при их упаковке). А анализ каждого файла вряд ли провести возможно, ну конечно, когда есть подозрение на конкретный файл, его можно и отладчиком посмотреть и потом антивирусникам отправить.
Вообще пишу это не ради спора, интересно как эксперты работают в этом направлении. Мы не проводим экпертиз официальных, однако по работе бывает необходимость провести исследования некоторых машин, в основном на предмет несанкционированного ПО,   предназначенного для различных деструктивных или "шпионских" целей.
Записан
ezhfan
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 73


С любовью к ближнему

177757775
E-mail
« Ответ #45 : 11 Марта 2005, 02:58:10 »

На самом деле я не эксперт в этом вопросе, но часто возникает необходимость проверить тот или иной файл.
Причем на машине антивирусов не установлено - смысла не вижу. Подозрительный файл проверяю online-проверкой, далее, если "известных вирусов не обнаружено", распаковываю его, загружаю в IDA, иду пить чай Улыбающийся
Конечно, метод не стопроцентный, но достаточно эффективный.

P.S.: один раз чуть с ума не сошел - в системе прячется какой-то процесс, причем кривовато так прячется, по Рихтеру Улыбающийся
Думаю - всё, вирус или троян. Гружу softice - паника! На точке входа каждого приложения срабатывает какой-то код, причем хорошо так препятствует отладке... Ну точно - тушите свет, сливайте масло - ТРОЯН! Только непонятно, какой.
И тут меня осенило - я же решил попробовать одну СКЗИ, не буду говорить, какую... Удалил - всё стало на свои места, код не грузится, NtQuerySystemInformation никто больше не перехватывает, task manager не падает...
Записан
AlexSan
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 251


...я не хочу ходить строем, хочу ходить один...


E-mail
« Ответ #46 : 14 Марта 2005, 16:29:43 »

Судебная практика по делам о компьютерных преступлениях показывает, что в ходе судебного заседания сторонам бывает очень легко исключить из списка доказательств виновности (невиновности) подсудимого Заключение эксперта, производившего компьютерно-техническую экспертизу, если выясняются следующие обстоятельства ее производства:
 
1. Экспертиза проводились на несертифицированном компьютерном оборудовании - не имеющем сертификата соответствия Требованиям и рекомендациям по безопасности информации Гостехкомиссии России. Эти сертификаты выдаются по итогам аттестации (проведения специальных исследований) объектов информатизации и (или) технических средств обработки информации Спеццентрами Гостехкомиссии России или уполномоченными ими негосударственными предприятиями и организациями.

А вот всё-таки - нужна такая сертификация или нет? Особенно применительно к гражданскому процессу?
И как насчет остальных требований - в гражданском процессе они обязательны?
Записан

"Война удобна - она избавляет от необходимости думать.
Но с каких пор ты стал любить повиноваться приказам?"  БГ
korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #47 : 15 Марта 2005, 05:15:52 »

Мне тоже это интересно. Сертификация и аттестация вещи в принципе разные. Аттестовать вы можете СВТ, помещение, АИС., по какому-то классу защищенности. Но для этого в процессе аттестации вы должны присвоить класс - это заувисит от того какая информация  обрабатывается в системе (К, С,СС ,ОВ) и мне кажется ,что техника эксперта здесь не при чем. А вот на что должен быть сертифицирована ПЭВМ эксперта(кстати только СВТ или еще ОС и прикладное ПО?) - не знаю, в сертификациях не силен. Ну например, средства шифрования должны сейчас сертифицироваться ФСБ, пожарно-охранные системы - МВД, а техника для проведения экспертиз -?, да и относится ли ПЭВМ+система к этой категории?
Записан
AlexSan
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 251


...я не хочу ходить строем, хочу ходить один...


E-mail
« Ответ #48 : 15 Марта 2005, 13:16:00 »

Что-то молчат все...
Кстати, а где эти Требования Гостехкомиссии можно посмотреть? Или это закрытая информация?
Записан

"Война удобна - она избавляет от необходимости думать.
Но с каких пор ты стал любить повиноваться приказам?"  БГ
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #49 : 08 Апреля 2005, 09:13:42 »

CyberCop, мы ждем ответа на заданые вопросы. Почему молчите?
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Страниц: 1 ... 3 4 [5] 6   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines