Re: lug-bg: Server based антивирусна защита
- Subject: Re: lug-bg: Server based антивирусна защита
- From: Peter Pentchev <roam@xxxxxxxxxxx>
- Date: Mon, 14 Feb 2005 22:01:35 +0200
On Mon, Feb 14, 2005 at 07:27:04PM +0200, Vesselin Kolev wrote:
>
> >От известно време насам доста скенери си имат детектор на compression
> >bombs... Е, добре де, "доста", не "всички", и при някои дори не е
> >пуснат по подразбиране... :)
> >
> >Поздрави,
> >Петър
>
> И този детектор работи само за елементарно направени бомби като
> описаната горе. Има и друг начин за запълване на файла с повтарящи се
> сегменти. Не искам да си развалям отношенията с администраторите дето
> пишат в този лист и да публикувам как може да се лъже детектора:)))
> Подобен детектор не може да е алгоритмичен, а само шаблонен и това му е
> слабото място.
Тоооо... зависи. По принцип един от начините да бъде направен такъв
детектор (макар че в момента изобщо не съм сигурен дали реално
използваните продукти го използват реално ;) е да следи за две неща:
1. абсолютен размер на декомпресирания файл (в момента, в който стигне
2 GB, спира, макар че тогава вече е късно, особено ако това е примерно
150-тото такова съобщение за последните 30 секунди ;)
2. степен на компресия (ако декомпресиране нещо, което се оказва
компресирано с повече от 10:1, и вече сме разархивирали примерно
повече от 100 KB, спираме)
Да, вярно е, че и двете могат да бъдат излъгани/abuse-нати съвсем не
толкова сложно, ако човек седне и се замисли какво иска да направи, но
все пак налагат малко мислене ;)
Поздрави,
Петър
--
Peter Pentchev roam@xxxxxxxxxxx roam@xxxxxxxx roam@xxxxxxxxxxx
PGP key: http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553
I am jealous of the first word in this sentence.
Attachment:
pgprRiDLvQlc_.pgp
Description: PGP signature
|