Unsafe это вирус? Помогите пожалуйста
Мля что за народ туповатый пошел Вас не про активатор спрашивают а про Unsafe Ключевое слово unsafe обозначает небезопасный контекст, необходимый для выполнения любых операций с применением указателей. Дополнительные сведения см. в разделе Небезопасный код и указатели.
В объявлении типа или члена типа можно использовать модификатор unsafe. Все текстовое пространство типа или члена типа считается небезопасным контекстом. Например, следующий метод объявлен с модификатором unsafe: unsafe static void FastCopy(byte[] src, byte[] dst, int count)
<
// Unsafe context: can use pointers here.
> Область небезопасного контекста простирается от списка параметров до конца метода, поэтому в списке параметров можно также использовать указатели:
unsafe static void FastCopy ( byte* ps, byte* pd, int count ) <. >Кроме того, небезопасный блок позволяет добавлять небезопасный код в блок. Пример: unsafe
<
// Unsafe context: can use pointers here.
> Для компиляции небезопасного кода необходимо задать параметр компилятора /unsafe. Небезопасный код не проверяется средой CLR. Пример // compile with: /unsafe
class UnsafeTest
<
// Unsafe method: takes pointer to int:
unsafe static void SquarePtrParam(int* p)
<
*p *= *p;
>
unsafe static void Main()
<
int i = 5;
// Unsafe method: uses address-of operator (&):
SquarePtrParam(&i);
Console.WriteLine(i);
>
>
// Output: 25
Последствия
Unsafe.A распространяется на другие компьютеры, копируя его код в другие файлы или программы. Он оказывает разрушительное воздействие на зараженный компьютер.
Unsafe.A не распространяется автоматически, используя свои собственные средства. Для достижения затронутого компьютера требуется вмешательство атакующего пользователя. К используемым средствам передачи относятся, среди прочего, гибкие диски, CD-ROM, сообщения электронной почты с прикрепленными файлами, загрузка через Интернет, FTP, каналы IRC, одноранговые сети обмена файлами (P2P) и т. Д.
Ключевое слово unsafe обозначает небезопасный контекст, необходимый для выполнения любых операций с применением указателей.
Для компиляции небезопасного кода необходимо задать параметр компилятора /unsafe. Небезопасный код не проверяется средой CLR.
Для обеспечения типобезопасности и безопасности язык C# по умолчанию не поддерживает арифметику указателей. Но ключевое слово unsafe позволяет задать небезопасный контекст, в котором использование указателей возможно. Дополнительные сведения об указателях см. в разделе Типы указателей.
Примечание
В общеязыковой среде выполнения (CLR) небезопасный код называется непроверяемым. Небезопасный код в C# не обязательно опасен, просто его безопасность нельзя проверить в CLR. Поэтому CLR будет выполнять небезопасный код, только если он находится в полностью доверенной сборке. Если вы используете небезопасный код, вы сами несете ответственность за возможные риски безопасности и ошибки указателей.
Общие сведения о небезопасном коде
Небезопасный код имеет следующие свойства:
Методы, типы и блоки кода можно определить как небезопасные.
В некоторых случаях небезопасный код может увеличить скорость работы приложения, если не проверяются границы массивов.
Небезопасный код необходим при вызове встроенных стандартных функций, требующих указателей.
Использование небезопасного кода создает риски для стабильности и безопасности.
Чтобы скомпилировать небезопасный код на C#, приложение нужно компилировать с помощью /unsafe.
Cylance против Sality
Всем привет. В преддверии старта курса «Реверс-инжиниринг 2.0» подготовили еще один интересный перевод.
Sality терроризирует пользователей компьютеров с 2003 года, когда персональные цифровые помощники (PDA или КПК) делали заголовки технических изданий, а офисные ПК работали под управлением Windows XP. За прошедшие годы пользователи успели обменять свои КПК на смартфоны, а настольные компьютеры перешли на новые операционные системы и цифровые решения для рабочих мест. Sality, однако, пережил бешеный темп технологических инноваций и продолжает угрожать организациям по сей день.
Вирус Sality заражает локальные исполняемые файлы, сменные носители и удаленно используемые диски. Он создает одноранговый(P2P) ботнет, который облегчает загрузку и выполнение других вредоносных программ. Sality может выполнять внедрение вредоносного кода и изменять свою точку входа для принудительного выполнения кода. Это вредоносное ПО остается жизнеспособным, перенимая успешные стратегии других угроз, включая такие методы, как руткит/бэкдор, кейлоггинг и червеподобное распространение.
Анализ цепочки атаки
Анализ Sality
Наш анализ начинается со скриншота файла службы Защитника Windows, зараженного вредоносным кодом. Обратите внимание на вредоносный код, внедренный в последний раздел этого файла (рисунок 1):
Рисунок 1: В последней строке показан исполняемый файл чтения/записи
Sality создает три копии себя. Первая копия сохраняется в папке %AppData%\local\temp\ (рисунок 2) и внедряется в процесс проводника (рисунок 3):
Рисунок 2: Первая копия Sality сохраняется в папке %temp% с именем xelag.exe
Рисунок 3: В процесс проводника внедряется вредоносный процесс ( xelag.exe )
Вторая копия этой вредоносной программы сохраняется в папке %AppData%\local\temp\%random_folder_name%\ с именем WinDefender.exe (рисунок 4):
Рисунок 4. Вторая копия Sality с именем WinDefender.exe
Третья копия Sality сохраняется в виртуальной памяти удаленного процесса в папке %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe (Рисунок 5):
Для обеспечения устойчивости Sality изменяет системный реестр (рисунок 6):
Рисунок 6: Sality записывается в системный реестр.
Затем вирус пытается установить P2P подключение для загрузки дополнительных вредоносных программ (Рисунок 7):
Рисунок 7: Sality обращается к подозрительным IP для получения большего количества вредоносного ПО
Когда жертва перезагружает компьютер, все три копии вредоносного ПО внедряются в explorer.exe (рисунок 8):
Рисунок 8: Все три копии Sality внедряются в процесс проводника.
Почему Sality важен и почему я должен быть обеспокоен?
Sality дебютировал в том же году, когда Apple открыла магазин iTunes, а кинотеатры собрали кассу на «Возвращении короля». Он остается угрозой и сегодня. Только одна долговечность вируса Sality является свидетельством его эффективности, модернизируемости и адаптируемости. Любое вредоносное ПО, все еще жизнеспособное через полтора десятилетия после его первоначального обнаружения, не должно быть вне поля зрения пользователей и специалистов по безопасности.
По сравнению с Nemucod, Sality является более полнофункциональным и зрелым примером вредоносного ПО. Он имеет длинную историю изменений, которые указывают на разнообразный набор вариантов использования с возможностью развертывания Sality в зависимости от целей и сложности атаки. Сопоставляя возможности Sality с категориями тактики MITER ATT & CK, эта вредоносная программа способна играть роль на каждом внутреннем этапе цепочки атак после выполнения, а это означает, что Sality требуется метод доставки в среду, прежде чем он сможет приступить к работе.
При необходимости Sality может выступать в качестве основного операционного агента, предоставляя злоумышленнику основной набор функций для выполнения различных действий над целью, ориентированных на сохранение и расширение доступа. Он также имеет возможность модульной загрузки дополнительных функций по мере необходимости злоумышленника. Гибкость, предлагаемая этим базовым набором функций, делает Sality подходящим для широкого спектра наступательных кампаний.
Гибкость, предоставляемая в таких распространенных вредоносных программах, как Sality, предлагает более искусным злоумышленникам возможность скрыть активность и намерения целенаправленной атаки под видом широкой, неизбирательной кампании. Атакующий может использовать возможности Sality в первой волне целевой атаки, устанавливая точку опоры в окружающей среде. Благодаря такому доступу злоумышленник может открыть более изощренное или губительное вредоносное ПО после того, как он оценит операционный риск на основе защитной позиции цели.
Cylance останавливает Sality
Пользователи CylancePROTECT будут рады узнать, что мы обнаруживаем и предотвращаем Sality до его запуска. Предотвращая запуск Sality, мы защищаем наших клиентов от этой мастистой вредоносной программы и множества других угроз, которые она стремится развернуть. Sality может и является долгожителем, но он не выживет на машинах, защищенных CylancePROTECT.
Cylance unsafe что за вирус
Some antivirus clients do result in false positives with Firefox on Windows, which is more likely occur after a recent new major Firefox version or update but not later on with same version.
While this was a full Firefox setup for Windows, some antivirus clients have done false positives on the small online stub installers served on www.mozilla.org (for Windows users) every so often even though it had been in use since Firefox 18.0.
Isn’t the same as the link I wrote above?
Get the full installer from; »'[http://www.mozilla.org/en-US/firefox/all/ Download Firefox For All languages And Systems]»’
No it is not. First is a FTP site, most people now do not know anything about them or why.
This the Full Version Installer link same as above :
If in need of the Extended Release Version 52.5.2 ESR :
Please let us know if this solved your issue or if need further assistance.
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above : *https://www.mozilla.org/firefox/all/ If in need of the Extended Release Version 52.5.2 ESR : *https://www.mozilla.org/en-US/firefox/organizations/all/ Please let us know if this solved your issue or if need further assistance.
Выбранное решение
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works.
It leads to same build yes. Mozilla uses a CDN to deliver the downloads. They used to use a mirrors system which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release.
No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above : *https://www.mozilla.org/firefox/all/ If in need of the Extended Release Version 52.5.2 ESR : *https://www.mozilla.org/en-US/firefox/organizations/all/ Please let us know if this solved your issue or if need further assistance.
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works.
It leads to same build yes. Mozilla uses a CDN to deliver the downloads. They used to use a mirrors system which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release.
Thank you for the information. So in either of these directories leads to the same files that were Uploaded by Mozilla and it is safe to use? The installers of the site www.mozilla.org/firefox/all/
No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above : *https://www.mozilla.org/firefox/all/ If in need of the Extended Release Version 52.5.2 ESR : *https://www.mozilla.org/en-US/firefox/organizations/all/ Please let us know if this solved your issue or if need further assistance.
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works. It leads to same build yes. [https://developer.mozilla.org/en-US/docs/Glossary/CDN Mozilla uses a CDN] to deliver the downloads. They used to use a [https://www-archive.mozilla.org/mirrors.html mirrors system] which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release. What is listed on www.mozilla.org/firefox/all/ is in for example https://ftp.mozilla.org/pub/firefox/releases/ http://archive.mozilla.org/pub/firefox/releases/ http://download-origin.cdn.mozilla.net/pub/firefox/releases/
Cylance unsafe что за вирус
Здравствуйте форумчане.
Возникла такая проблема.
не могу передать знакомому exe созданный в HIASM 4.05 build 186
Ни почтой ни архивом
Защитник Windows (WIN 10) ругается на вирус и блокирует скачивание или распаковку.
Вариант отключения антивирусника (защитника) не подходит.
Как реализовать корректную отправку (передачу) файла?
Редактировалось 2 раз(а), последний 2021-10-14 23:14:06
Скажем так.
человек которому я отсылаю файл НИЧЕГО не будет делать на своем компе, что бы получить программу.
Поэтому давайте рассматривать вариант с программой, а не компом получателя.
Я хз, может подпись не нравится, может издатель.
Неужели я первый, кто столкнулся с такой проблемой?
Редактировалось 1 раз(а), последний 2021-10-15 01:01:39
Редактировалось 11 раз(а), последний 2021-10-15 15:12:47
Есть такой сервис https://www.virustotal.com но он тоже не панацея от таких вопросов.
P.S. Сам, по возможности, запускаю Windows ПО под Wine в Linux LiveCD Puppy и это снимает часть каких то «вопросов».
Редактировалось 1 раз(а), последний 2021-10-15 20:10:48
Благодарю за советы
что касается программы, то вот она https://disk.yandex.ru/d/5zFHQ-Oh1M6rFQ
все что предлагалось выше, это правильно, но для тех кто в теме и дружит с компом.
в данном случае предполагается давать эту программу менеджерам с компами с предустановленной лицензионной виндой.
им никто не позволит что-то менять в системе, да и сами они боятся (и не умеют) лезть куда-то в настройки системы.
вот сам проект https://disk.yandex.ru/d/zGmYkvAe0Q2vIQ
как такое может быть
6 вирусов
Cynet
Malicious (score: 100)
————
пересохранил проект под другим именем и проверил еще раз
8 вирусов
Cynet
Malicious (score: 100)
Sophos
Generic ML PUA (PUA)
самое потешное, что система установлена на этой неделе.
Редактировалось 3 раз(а), последний 2021-10-16 08:21:33
Интересно, что при разных сохранениях разные «вирусы» в программе? (или только на смену имени программы такой эффект?)
— хэш сумма файла похоже тоже изменилась, но почему?
А на оригинальной и альтернативной сборке как?
А, другие антивирусы, почему то, не выдали предупреждений (наверное страдают «тупизной» или чего то скрывают)
P.S. т.к. думаю, что «неоткрытие» исходников используемого ПО HiAsm4, то и проверить на безопасность его исполняемые файлы нет возможности, особенно в малоизвестных антивирусах. (компонент генерации кода пакета открыт и по идее проверяемость что получается в выходном файле не должно быть трудной к разрешению задачи для проверки на бэкдоры в ПО)
Cylance unsafe что за вирус
Some antivirus clients do result in false positives with Firefox on Windows, which is more likely occur after a recent new major Firefox version or update but not later on with same version.
While this was a full Firefox setup for Windows, some antivirus clients have done false positives on the small online stub installers served on www.mozilla.org (for Windows users) every so often even though it had been in use since Firefox 18.0.
Modified December 22, 2017 at 12:04:30 PM PST by James
Isn’t the same as the link I wrote above?
Get the full installer from; »'[http://www.mozilla.org/en-US/firefox/all/ Download Firefox For All languages And Systems]»’
No it is not. First is a FTP site, most people now do not know anything about them or why.
This the Full Version Installer link same as above :
If in need of the Extended Release Version 52.5.2 ESR :
Please let us know if this solved your issue or if need further assistance.
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above : *https://www.mozilla.org/firefox/all/ If in need of the Extended Release Version 52.5.2 ESR : *https://www.mozilla.org/en-US/firefox/organizations/all/ Please let us know if this solved your issue or if need further assistance.
Chosen Solution
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works.
It leads to same build yes. Mozilla uses a CDN to deliver the downloads. They used to use a mirrors system which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release.
No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above : *https://www.mozilla.org/firefox/all/ If in need of the Extended Release Version 52.5.2 ESR : *https://www.mozilla.org/en-US/firefox/organizations/all/ Please let us know if this solved your issue or if need further assistance.
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Modified December 23, 2017 at 1:34:13 PM PST by James
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works.
It leads to same build yes. Mozilla uses a CDN to deliver the downloads. They used to use a mirrors system which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release.
Thank you for the information. So in either of these directories leads to the same files that were Uploaded by Mozilla and it is safe to use? The installers of the site www.mozilla.org/firefox/all/
No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above : *https://www.mozilla.org/firefox/all/ If in need of the Extended Release Version 52.5.2 ESR : *https://www.mozilla.org/en-US/firefox/organizations/all/ Please let us know if this solved your issue or if need further assistance.
Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?
Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works. It leads to same build yes. [https://developer.mozilla.org/en-US/docs/Glossary/CDN Mozilla uses a CDN] to deliver the downloads. They used to use a [https://www-archive.mozilla.org/mirrors.html mirrors system] which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release. What is listed on www.mozilla.org/firefox/all/ is in for example https://ftp.mozilla.org/pub/firefox/releases/ http://archive.mozilla.org/pub/firefox/releases/ http://download-origin.cdn.mozilla.net/pub/firefox/releases/
Modified December 24, 2017 at 8:43:15 AM PST by andnik
