Несколько вопросов о HIPS , Пробую его изучать, но есть некоторые моменты

RSS
1. Устанавливаю игры, само собой не лицензионные, некоторые из них хотят получить доступ к csrss.exe https://sun9-7.userapi.com/impf/ZM3eGyLmwJPKdL7LnF-fn799gbX6q-wFJfSDvQ/5OqOZApphUA.jpg?size=1041x276... и мне хочется узнать, нормально ли это или стоит опасаться?

2. Эта игра так и вовсе хочет прописать ключик в реестре https://sun9-29.userapi.com/impf/sdMAexR7YwiLil2nm33XON7XFas5r7gwi5Ij-Q/5sBgNDZCgUY.jpg?size=694x513... и еще пытается получить не только доступ к csrss.exe но и к службам ESET https://sun9-7.userapi.com/impf/OwdiWzI6M9gOnMqiTLgKJiqY-LW0h5YYFjtkig/KPgSrGUfno8.jpg?size=1007x771... что тоже меня заинтересовало

3. Еще одна игра тоже меня заинтересовала. Мне показывает это при сканировании https://sun9-27.userapi.com/impf/uuzSiNU6qVNz6rM0SJRb9-ZzitExsElUxWyKNA/U9p96-4xOHg.jpg?size=798x393...  как я понимаю, это кряк для взлома игры, но могу ошибаться, дефендер мелкомягких показал это https://sun9-7.userapi.com/impf/pKL_NfzKnN1M0PWQR4ad0DOilWv9hsOokt5gyA/9ma3-rTJoTk.jpg?size=448x367&... а доктор веб cureit  молчит, пробовал удалить через дефендер, но это как я понял уже ЕСЕТ не разрешает)) ну это я так для эксперимента https://sun9-72.userapi.com/impf/6cu_W7WN087QhuNbs_baaZq39mXAxtI3-FlkOw/vKUnjsPxTfE.jpg?size=788x316...
а самим ЕСЕТом я удалил https://sun9-61.userapi.com/impf/U4s-kIDJJ5TLDp3-U8aXazFU8PoQEkqnwPr-lw/F7lQbah6h_o.jpg?size=745x547... и повторно просканил - всё нормас. Правда в windows defender один хрен он показывает, но это насколько я знаю баг такой (хз как от него избавиться теперь)

И вот что интересно:
а) Зачем некоторые экзешники лезут в csrss.exe ? Ведь некоторые другие игры с торрента вообще не пытаются лезть туда, да и не собираются менять параметры системы
б) За каким лешим спираченой игре ключ в реестр запиливать?
в) Может ли безопасная без вирусов спираченая игра лезть к антивируснику с попыткой получить доступ? (наверное глупый вопрос) Может ей типо разрешение надо для чего-то?
г) Что за Windows32HackToolCrack.CS такой? Кряк/таблетка для игры или что? В других спираченых игрушках при сканировании ничего такого обнаружено не было, от слова совсем, однако там таблэтки наверняка тоже есть, весь не лицензионные же игрушки то.
Изменено: Подозрительный Человек - 10.12.2020 13:33:09

Ответы

Цитата

Сейчас угрозы это конструкторы
Это имеется ввиду программы по созданию вирусов?
Цитата
КОД - отдельные функции\возможности\компоненты.
Кстати о коде, у моего знакомого "разработчика" игр, почему-то постоянно одна из его игр детектируется на VT как завирусованная, ему так написали игроки-параноики. Но она нормальная, dr.web cureit ещё ещё проверяли - чисто (он кстати не нашёл hacktool, о котором было выше, видимо доктор веб не агрится на кряки и таблетки), однако да, установщик пихаем на ВТ, и показывает зверей. Так вот появился у нас такой вопрос, можно ли СЛУЧАЙНО напечатать "вредоносный код"?
Цитата
Есть файловые вирусы т.е. на диске сохраняются файл\файлы вирусов ( в скрытом или явном виде )- которые запускаются - тем или иным образом.
Хмм... я так понимаю, можно же ещё посмотреть в автозагрузке, где собака зарыта, и вычислить гада?
Цитата
Есть без файловые - т.е. это просто процесс в оперативной памяти - пока PC работает "вирус" есть - перезагрузили его уже нет.
Получается, достаточно например просто снять галочку "быстрый запуск", чтобы компьютер не сохранял мусор в оперативной памяти, и всё? Как-то помню, сканером доктор веба бекдор нашёл в onedrive как раз таки в оперативной памяти, при этом я винду переустанавливал, и я в итоге не понял, как он там оказался, я ведь и не качал ничего
Цитата
нужно отслеживать что находиться в оперативной памяти в норме и при появлении нового объекта реагировать
Отслеживать можно с помощью таких программ, как AUTORUN или мониторингом файловой системы и сетевой активности в сервисе антивируса? Или как это удобно делать?
Цитата
Для лечения и профилактики изучать uVS и FRST
Про uVS я слышал, а вот о FRST слышу впервые. Что за функционал у программы?
Цитата
Реально это троянская программа.
Кстати, почитал я в одной статье про трояны, которые к ботнету подключают, но при этом не в биосе заседают, а на жестких дисках (то есть файловые вирусы), и там говорится, что достаточно удалить трояк, и комп отключается от ботнет-сети. И это меня порадовало, конечно =)
Изменено: Подозрительный Человек - 15.12.2020 10:01:12
Цитата
Подозрительный Человек написал:
Это имеется ввиду программы по созданию вирусов?
Сейчас сами "вирусы" - это конструктор.

Цитата
Подозрительный Человек написал:
у моего знакомого "разработчика" игр
Возможно реакция на упаковщик - он может написать в пару тройку компаний\антивирусов и возможно ему ответят что-как и почему.

Цитата
Подозрительный Человек написал:
можно ли СЛУЧАЙНО напечатать "вредоносный код"?

Можно - Вирусы на Delphi
Человек пишет код - а модифицированная программа добавляет свой.
В принципе любая взломанная\модифицированная программа может что нибудь от себя добавить.

Цитата
Подозрительный Человек написал:
Хмм... я так понимаю, можно же ещё посмотреть в автозагрузке, где собака зарыта, и вычислить гада?

Файл может быть и не прописан в автозагрузке - параметры запуска могут быть прописаны в ярлыке ( например ярлыке браузера )

Цитата
Подозрительный Человек написал:
Отслеживать можно с помощью таких программ, как AUTORUN или мониторингом файловой системы и сетевой активности в сервисе антивируса? Или как это удобно делать?
Прежде все нужно запомнить что у вас в норме загружено в память - но чем больше у вас программ тем сложнее это сделать...
Программы подбираются по функционалу и на вкус.
Цитата


Подозрительный Человек написал:
о FRST слышу впервые.
Руководство по Farbar’s Recovery Scan Tool (FRST) | SafeZone - форум по информационной безопасности
Благодарю за информацию
По поводу BIOS\UEFI
Изменения в прошивке сводяться к таким вариантам:

1) Легальная чистая прошивка от производителя - с завода.
1.1) Легальная прошивка с модулями слежения...
типа: Модифицированный EFI/CompuTrace.A
https://xakep.ru/2014/02/13/62048/
https://support.eset.com/en/kb6567-you-receive-an-eset-uefi-detection

2) Легальное обновление прошивки от производителя - запущенное автоматически, или пользователем\администратором.

3) Чистая модифицированная прошивка - например добавлена поддержка нового оборудования.
Выполненная частным лицом, или предприятием - не имеющим к производителю никого отношения.

4) "Вирус" - Троянец.
Перепрошивка
4.1) Повторная перепрошивка - обновление.

5) Аппаратно\Программные комплексы защиты с перепрошивкой.
Обзор рынка средств (модулей) доверенной загрузки (СДЗ, МДЗ)
т.е. Теоретически, если производитель постановляет версию со встроенным в  BIOS\UEFI модулем слежения - и этот же компонент содержаться в новых версиях прошивки...
можно применить модуль доверенной загрузки, если есть поддержка данной версии  BIOS\UEFI
Изменено: RP55 RP55 - 21.12.2020 10:12:13
Читают тему (гостей: 3)