|
Arc bombe nisu nikakva nepoznanica, fora je samo da AV program prepozna da ce upasti u zamku ukoliko pokusa da detaljno proskenira tu arhivu - upada se maltene u beskonacnu petlju.
Kaspersky prijavljuje trojanca, sto je po definiciji reci "trojanac" tacno:
nesto sto ima svoju neskrivenu funkciju i skrivenu funkciju.
Ovde je neskrivena funkcija da je ovo obicna ZIP arhiva, a skrivena je da je takav raspored pod-arhiva da ce AV programi da se utupe pri skeniranju.
KAV skapira da je bomba posle svega 4-5 rekurzija.
Vidim da je i Bitdefenderu potrebno isto 4-5 rekurzija da skapira.
Kod F-Securea sam imao paradoks:
- ukoliko se skenira iz grafickog dela programa (onog na koji ste navikli) - onda ne upada u zamku
- ukoliko se koristi konzolni skener koji stize u paketu - ne skapira da je bomba i upadne u zamku
Problem je sto za moje potrebe GUI verzija F-Securea uopste ne zadovoljava potrebe zbog toga sto mi pravi logove u HTML formatu, dok konzolna verzija pravi logove koji se lako parsuju, tako da ja mogu da koristim moje polu-automatske programe za dalje analize.
U ovom testu sam koristio GUI verziju Sophosa, a u paketu stize i konzolna verzija sa kojom nisam sada imao vremena da se igram.
Dopuna: 24 Jun 2006 19:36
Zamolio bih vas da ne komentarisemo dalje ciji AV je prepoznao bombu, ovo je tema o Sophosu.
Moze eventualno neko da prijavi ukoliko njegov program upadne u zamku.
|
