Алексей Ярков: Спасибо! К сожалению тема парсинга не достаточно хорошо раскрыта! К примеру не каждый знает ответ на вопросы: "У меня почти битая html-страничка и как ее парсить?" или же "В каких случаях мне надо использовать Selenium + Google Chrome?"
Александр Василенко: Если N тестируемых объектов почти один в один похожи, но отличаются 1 параметрами, то это "параметризованный" тест. Один тест с различными параметрами. Более того можно даже один, сделать менее точное условие проверки, к примеру: "должна быть ссылка вида http://werwerqw.sdfasdf/тут число/asdfasdf.html" и этого достаточно!
wonder-kid: Она заставляет человека думать головую. Ставит перед ним вопросы, которые он никогда перед собою не ставил. Умному человеку достаточно направления и эта книга как раз и дает направление!
Макс: ОК. Без вас. Возможно кто-то столкнется. Но когда? Через сколько времени? Я вот работая несколько лет назад в антивирусной конторе отлично помню, что мы сталкивались со случаями, когда файл начинал обнаруживаться только спустя месяцы! В силу разных причин. Поэтому и утверждаю, что одним лишь clamav-ом сытым не будешь! Нужно поднимать более серьезное решение или согласиться на ситуацию "возможно пропустим малварь"
bnytiki: Давайте вернемся к вашему утверждению. Вы начали утвеждать о том, что проактивка при анализе на Linux машинах не нужна. Это не так! Если ваш сотрудник вам это будет утверждать, можете смело лишать премии ;)
Макс: Для того чтобы сигнатуры появились нужно чтобы их кто-то их добавил! А чтобы их добавили нужно человеку файл в руках подержать и пореверсить. Убедиться что это вирус. Вот и вывод: нет файла, нет реверса, значит нет сигнатуры! Это как: нет запроса на фичу, значит нет реализации
Макс: Стратегия малварщика работать не на всем парке машин. А оставаться как можно дольше в стадии "не задетектили". Если прямо сейчас он обнаруживает, что он работает под виртуалкой, то ему проще отказаться от работы и закрыть процесс. Зато пользователь не заподозрил, что-то неладное и не отправил файл в Лабораторю Касперского и у него есть еще один день минимум.
Про банкоматы: там поток информации идет не через одну систему! А через множество Linux машина -> windows машина -> еще 100500 решений по безопасности . Через такие вот гетерогенные сети у малварщика нет ни одной возможности зацепиться хоть за что-то и ему приходится решать проблему сбития детекта в общем плане, а это увеличивает стоимость разработки малвари.
Есть банкоматы банка Москвы работающие и на DOS!!! А есть на Linux, а есть на Windows.
Но, если честно банкоматы ломают отнюдь не вирьем, а другими методами, которые дешевле, эффективнее и проще.
bnytiki: Windows-файлы это не Rar-архив! Это исполняемый файл в котором содержится код. Clamav содержит только статические сигнатуры и минимальный поведенческий анализа, когда небольшие куски кода анализируются путем небольшой эмуляции, к примеру посмотрите исходный код в детекта yoda-криптора. Но больше вы ничего не сделаете! НИЧЕГО! А есть еще 100500 способов уйти от детекта, которые можно обнаружить только на реальной и физической Windows-системе. Вы конечно можете запустить в VirtualBox, но вы не сможете постоянно менять устройства, а я достаточно легко обнаружу то или иное устройство или ту или иную закономерность в системе работающей на VirtualBox и просто откажусь работать. Да, не наврежу юзеру, но мне главное избежать детекта и точка. Отработаю в другой раз.
Горе-умельцы поствят clamav, а потом е--ут мозг себе и другим с вопросом "Я же все хорошо настроил, что еще то надо?". Да ничего, руки из ж...ы надо вырывать и в плечи в кручивать!
Макс: Написал же, см. ниже! Минимум KVM, а внутри уже создавать решение. Но только лишь clamav это лишь 25% от даже известных миру вирусов, а уж неизвестных вы им не поймаете. Ну разве малварщик с будуна на бажит.
dableproger: Любой! Любой программер пишущий малварь, если у него руки из правильного места напишет код обнаруживающий работу под виртуалкой если не за 10 минут, ну уж за 1 день наверняка!!! Да и под Linux, горе умельцы как правило юзают самый остойнейший продукт: VirtualBox, как будто бы KVM еще не существует. А его, KVM детектить на порядок тяжелее чем VirtualBox, VMWare, Virtual PC и др.
