آنتی اکسپلویت

[saman]

کل ایرانم ک استفاده نکنن از محصولاتشون اهمیتی واسشون نداره حتی همون نود 32 یا توتال سکوریتی 360 چینی زبان فارسی رو هم پشتیبانیی نمیکنن! فروشنده رسمی حتی نداره تو ایران نود 32 و اگه ازشون سوال بکنی ادرس سایت عربی بهت میدن!پس مشخصا واسش اهمیتیم نداره ک من استفاده بکنم از نرم افزارش یا نه.من نکنم بازارش جای دیگه هست!

اتفاقا من فکر میکنم اشتباه من و شما همین جا هست.

اینکه تصور میکنیم اون نیازی به ما نداره

80 میلیون ایرانی مثل ماهی هایی میمونن که وقتی به تور آنتی ویروس اسلواک بیافتن، میتونن با تکنولوژی کلود و با هر روشی مشابه اون، به روز به روز قدرتمند شدن آنتی ویروس اسلواک در شناسایی بدافزار ها کمک کنن. اگر 4 تایی هم پیدا بشن که نمونه های داخل ایران رو برای آزمایشگاه شرکت اسلواک بفرستن که دیگه فوق العاده هست.

بخشی از قدرت شناسایی بدافزار در آنتی ویروس ها مدیون تعداد بالای استفاده کنندگان اون هست وگرنه تصور میکنید برای شرکت اسلواک کاری دارد که جلوی کرک شدن نرم افزارهایش را بگیرد و آب را به روی ایران ببندد؟ اما هنوز در جدیدترین نسخه آنتی ویروس اسلواک امکان دور زدن لایسنس معتبر آن شرکت وجود دارد.

[saman]

محصول ما از خارجیش تو ی لحاظ جلو تره من میخوام بدونم تو چ لحاظی پادویش از کسپر اسکای روسی ک 3500 نفر کارمند داره و ی سری از خبره ترین محقق های امنیتی رو داره سرترن؟! و اگه واقعا جلو تره؟ کجا ثابت کردن؟

یک نرم افزار کوچک ایرانی به اسم آنتی کریپتو که تنها بر اساس رفتار شناسی کار میکنه و الان هم بخشی از پادویش توتال سکیوریتی شده تونست در روزی که واناکرای پخش شد و 90 کشور دنیا رو با آنتی ویروس های مختلف درگیر کنه، جلوی این بدافزار رو با رفتارشناسی خاص خودش بگیره.

این یک نمونه تفاوت محصول ایرانی با روس بود. شاید خیلی تفاوت های دیگه هم باشه که من ازش بی خبرم.

[saman]

اصن فرض کنیم ک انتی ویروس های رایگان ندارن این قابلیت رو چ دخلی به پادویش ک پولیه داره؟ من گفتم انتی ویروس های پولی دارن حتی رایگان هام دارن! حالا همشو دارن یا چند تاشون اهمیت نداره.بعدشم یادت رفت ک اون رایگان های مجانین کاملا؟! فرضا ک من دروغ گفتم ندارن خب ک چی؟ پول دادم بالاش؟ مفتیه

همین که پذیرفتید نباید روی هوا چیزی بگویید خودش یک دنیا ارزش دارد.

1- از این پس هم وقتی خواستید چیزی بپرانید اول از خود بپرسید آیا من رفته ام و تمام آنتی ویروس ها (چه رایگان و چه پولی) بررسی کرده ام که دارم با اطمینان مینویسم>>> همه آنتی ویروس ها چه پولی چه رایگان آنتی اکسپلویت دارند؟
هر فردی ممکن است دچار اشتباه شود. خود من هم ممکن است درکی که از قابلیت های پادویش دارم اشتباه یا ناقص باشد اما هر سخنی نیاز به دلیل و برهان دارد و بی دلیل چیزی را پراندن به اینجا ختم میشود که مجبور میشوید بگویید من دروغ گفتم و غیره...... که البته قطعا هدفتان دروغ گویی نبوده و تنها و تنها دچار اشتباه محاسباتی در بیان بموقع و بجای یک مطلب شده اید.

2-
نقل قول از شما:

. پس داره میگه ک ما میتونیم شناسایی کنیم اگه شباهات داشته باشه به کد مخرب!
اینی ک شما گذاشتی حفاظت پرو اکتیو نیست! اضافه شده به لیست دیتابیس انتی ویروس یا پچ واسش دادن واقعا فرق اینو شما نمیفمی؟

پس این چیه تو پادویش؟دوست من

[saman]

پس حرف شما پوچ شد که گفتید:

به خاطر اینکه این انتی ویروس کلا توانایی مقابل با کد مخرب و اکسپولیت رو نداره این از این!

و من نشان دادم که دارد

بعد شما با سفسطه مرد پوشالین(نوعی از سفسطه که موردبحث را تغییر داده و به آن حمله میکنند) - Straw man - مدعی شدید که نه، باید بصورت رفتارشناسی با اکسپلویت مبارزه کند!!!!

بعد مدعی شدید شباهت ها برای پادویش بی معنی است و فقط متکی به آپدیت روزانه است که با تصویر پست قبلی نشان دادم چنین نیست.

[Naficy]

سلام
دوستان (بخصوص آقا سامان) لطفا سعی کنید این نکات را رعایت کنید تا بحث تبدیل به جدل نشود:
۱- از بحث به خاطر بحث خودداری کنید. سعی کنید مسائل را به صورت علمی و فنی بیان کرده و از ارائه نظرات و ترجیحات شخصی پرهیز کنید.
۲- از حمله و بیان مطالب به صورت شخصی پرهیز کنید. بحث را پیگیری کنید نه رفتار، یا استدلال یا نیات شخص مقابل را
۳- موضوعات بحث را از هم جدا کرده و به صورت آیتم به آیتم (شماره دار) بحث کنید و پاسخ دهید تا موضوعات با یکدیگر قاطی نشوند.
متشکرم

[saman]

چشم

از این به بعد هر موضوعی را با عنوانی (تاپیکی) جدا شروع میکنیم و در واقع میتوان هر موضوع مطرح شده کاربران که قابلیت پاسخگویی یا تبادل نظر دارد بصورت جدا بررسی شود.

[Naficy]

به نظرم چند مبحث با هم تلفیق شده و موجب سردرگمی شده است.

۱- تشخیص‌های ضدویروس بسته به حسگر تشخیص می‌تواند ایستا (قبل از اجرا)، پویا (هنگام اجرا)، یا ارتباطی (ترافیک شبکه) باشد. همچنین تشخیص در هر یک از این موارد بسته به موتور مورد استفاده اصولا یا مبتنی بر امضا است، یا مبتنی بر هوش مصنوعی.
کلمه محافظت رفتاری (Behavioral) معمولا به تشخیص‌های پویا (با امضا یا هوش مصنوعی) اتلاق می‌شود، هر چند برخی مقالات استفاده از تحلیل ایستای کد یا ایمولیت کردن آن را نیز جزو این دسته‌بندی می‌دانند.

۲- منظور از آنتی اکسپلویت معمولا روش‌هایی هستند که بدون رفع یک آسیب‌پذیری خاص، موجب سخت شدن یا تشخیص انواعی از اکسپلویت‌ها می‌شوند. این روش‌ها را به اصطلاح mitigation نیز می‌نامند و مواردی مانند ASLR، DEP و ... از این دست هستند.
این نوع مکانیزم‌ها معمولا یا داخل یک نرم‌افزار خاص (مثلا کروم) پیاده می‌شوند و صرفا روی همان نرم‌افزار موثر هستند و یا عمومی‌تر بوده و مانند ASLR و DEP روی کل سیستم تاثیر می‌گذارند و سعی می‌کنند سایر نرم‌افزارها را نیز امن کنند. چنین روشی نه مبتنی بر امضا است و نه جهت تشخیص به عامل خارجی نیازمند است و باید بتواند بلافاصله روی سیستم وقوع حمله را تشخیص دهد.
پادویش مدعی چنین مکانیزمی برای امن‌سازی کل سیستم نیست. البته مطلبی که مثلا از آواست نیز نقل شد نیز نشان می‌دهد که این ضدویروس نیز فاقد چنین مکانیزمی است، بلکه صرفا مکانیزم محافظت شبکه ابری خود را به عنوان روشی برای مقابله با اکسپلویت بیان کرده است. (پادویش نیز مکانیزم محافظت ابری مشابهی دارد که رفتارهای مشکوک داخل سیستم را بررسی و با آن مقابله می‌کند) چنین تشخیصی متکی به یک عامل خارجی (یعنی سرور شبکه ابری) است و بعد از گذشت مدتی و تحلیل اتفاقات انجام می‌گیرد.

به علاوه توجه کنید که اکسپلویت شدن یک نرم‌افزار ربطی به داشتن آنتی اکسپلویت (آنهم برای کل سیستم) ندارد، و باز هم ممکن است رخ بدهد. اما وجود آنتی اکسپلویت می‌تواند انواع خاصی از اکسپلویت‌ها (نه همه) را سخت یا ناممکن کند.

۳- تشخیص اکسپلویت‌های شناخته شده توسط روش‌های مبتنی بر امضا.
این شیوه‌ای است که پادویش یا سایر ضدویروس‌ها مثلا برای تشخیص حمله EternalBlue یا Conficker یا مانند آن استفاده می‌کنند. این روش مقابله بعد از شناخته شدن یک اکسپلویت به پایگاه امضا اضافه شده و انجام می‌گیرد.

۴- بخش موتور هوشمند یا هیوریستیک در ضدویروس‌ها معمولا به تشخیص‌های از نوع ایستا اتلاق می‌شود. که با روش‌های تشخیص رفتاری در بخش حسگر تشخیص متفاوت است.

۵- پادویش در زمینه رفتارشناسی جای کار زیاد دارد و ما به این واقف هستیم و داریم روی آن کار می‌کنیم. اما نمونه موفق ما در این زمینه همین ضدباجگیر پادویش است که در زمان حمله WannaCry، جلوی این باجگیر را - بدون نیاز به هیچ امضا یا عملی از طرف ما - گرفت.
باجگیر WannaCry از دو بخش تشکیل شده بود: اول ماژول مبتنی بر اکسپلویت EternalBlue که جهت انتشار و آلوده کردن سایر سیستم‌ها استفاده می‌شد. و دوم ماژول اصلی تخریب باجگیر که عملیات رمز کردن فایل‌ها و درخواست باج را انجام می‌داد.
تشخیص WannaCry توسط پادویش نه با تشخیص EternalBlue که با تشخیص ماژول تخریب این باجگیر انجام شد. هنوز هم که هنوزه، این مساله قابل اثبات و تست است: کافیست یک نسخه قدیمی مربوط به سال پیش ضدباجگیر پادویش را گرفته و روی سیستم نصب کنید و یک نمونه WannaCry را هم اجرا کنید تا ببینید که بدون هیچ مشکلی تشخیص داده شده و از عملیات تخریب آن جلوگیری می‌شود.