Реклама →
Пока McAfee и Intel разрабатывали, мы уже сделали
Думаю, многие специалисты в области информационной безопасности уже слышали про технологию DeepSAFE от компании McAfee.
Цитата с этой страницы звучит так: "McAfee и Intel объединяют усилия с целью кардинального изменения ситуации в отрасли информационной безопасности".
Пока McAfee и Intel объединяли усилия, мы вдвоём взяли и сделали то, над чем они до сих пор трудятся. Мы зарелизили наш Rootkit Detector, над которым работали 4 года.
Сам детектор доступен по ссылке northsecuritylabs.com, пока только версия для 32-битных систем.
(сразу скажу, что там лежит Trial-версия, но для хабраюзеров мы отредактируем попозже эту статью и вставим ссылку где можно будет скачать фришную версию)
7 месяцев назад на хабре мы уже написали статью про то, как это работает. За прошедшее время мы сделали багфикс, а заодно нашли и ошибку-недочет в толстом справочнике по командам процессора от Intel из-за которой ничего не получалось раньше :)
Цель продукта — мониторинг ядра Windows на предмет следующих событий, которые часто бывают malware-активностью различной степени тяжести:
Кроме этого было проделано много research-работы. Пришлось также покопаться в коде и для совместимости с остальными известными анти-руткитами :)
Теперь самое главное — для кого адресована эта тулза. Конечно, не для end-user'ов. Утилита предназначена прежде всего для специалистов по информационной безопасности, и для технически-продвинутых людей.
Однажды я получил такое письмо:
Другими словами, инвесторы интересуются, и наше имя уже всплывало на различных security-конференциях, хотя мы на них не бывали. Но очень хотелось бы. Все заработанные деньги были потрачены на поддержку телесного воплощения нашего сознания :) Куда-то поехать пока не позволяют наши финансовые возможности.
Также мы получали предложения от российских инвесторов. Но предложение продать 50% долю за $50K нас не устраивает.
В плане развития компании и различных решений/продуктов мы не останавливаемся. Ведь готовый hypervisor дает множество возможностей в плане информационной безопасности, и не только: защита персональных данных, защита от утечек информации, эмуляция различных hardware device'ов и т.д.
Более того, наш продукт будет встроен в наш антивирусный сканер (а далее и антивирус), над которым сейчас идет работа.
Есть люди, которые пишут свои операционные системы (даже есть такая шутка — какой настоящий программист не писал своей ОС с нуля?), а есть люди которые пишут антивирусы. На самом деле все не так запущено как кажется.
После переговоров с американскими инвесторами мы обращались за инвестициями в Яндекс и к некоторым другим венчурным фондам. Из Яндекс'а не ответили (что явно указывает на отношение к подающим заявки). Некоторые отвечали, что проект слишком сложный.
Но у нас было на этот счет другое мнение. В один прекрасный момент мы поняли, что сможем сделать свой антивирус не хуже, чем у остальных. И мы решили начать с антивирусного сканера. Который отличается от антивируса тем, что в нем нет HIPS'а и Anti-rootkit'a. Оставив самое простое (HIPS) на потом, мы начали делать свой сканер.
Через некоторое время сканер был готов. И получилось не хуже, чем у остальных. Кроме самого сканера мы сделали хорошую библиотеку для эмуляции исполняемого кода с поддержкой бинарной трансляции и остальными вкусностями. Эмулятор получился настолько хорошим, что мы сами удивились его скорости и эффективности.
Эмулятор очень быстро распаковывал UPX, ASPack, MEW и др. Имел общий механизм распаковки сторонних утилит упаковки, работал на Windows и Linux, и многое другое. Кстати, у многих производителей антивирусов до сих пор нет эмулятора. Этим мы уже выгодно отличаемся от остальных. У многих также нет гипервизора. Что является еще одним подспорьем для нас.
Деньги заканчивались, и мы решили продать эмулятор некоторым компаниям, у которых его не было. Сделали даже pdf'ку на эту тему:
northsecuritylabs.com/downloads/avelib.pdf
Но никто не купил. Все-таки для продаж нужен отдельный человек. Или нужно постоянно посещать security-конфы, выступать, рассказывать людям о том, каких успехов ты добился. Иначе никто о тебе не узнает (до тех пор, пока не заработаешь миллионы).
Долго ли, коротко ли, сканер постепенно обретал законченный вид и мы стали придумывать UI. Сейчас мы остановились на том, что у нас есть работающий сканер, но не хватает UI и хорошего тестирования.
Так что, возможно через год, мы представим вам свой антивирусный сканер. А через пару-тройку лет мы опровергнем глупый шаблон, который говорит о том, что на разработку своего антивируса нужно много денег.
До скорых встреч! :)
Цитата с этой страницы звучит так: "McAfee и Intel объединяют усилия с целью кардинального изменения ситуации в отрасли информационной безопасности".
Пока McAfee и Intel объединяли усилия, мы вдвоём взяли и сделали то, над чем они до сих пор трудятся. Мы зарелизили наш Rootkit Detector, над которым работали 4 года.
Сам детектор доступен по ссылке northsecuritylabs.com, пока только версия для 32-битных систем.
(сразу скажу, что там лежит Trial-версия, но для хабраюзеров мы отредактируем попозже эту статью и вставим ссылку где можно будет скачать фришную версию)
7 месяцев назад на хабре мы уже написали статью про то, как это работает. За прошедшее время мы сделали багфикс, а заодно нашли и ошибку-недочет в толстом справочнике по командам процессора от Intel из-за которой ничего не получалось раньше :)
Немного release notes
Цель продукта — мониторинг ядра Windows на предмет следующих событий, которые часто бывают malware-активностью различной степени тяжести:
- Активность гипервизора. Когда малварь пробует включить режим гипервизора для того, чтобы стать невидимой. Эта активность блокируется, гипервизоры не могут запускаться в активном режиме работы программы.
- Подозрительные команды процессора. Руткиты часто пытаются изменить управляющие регистры. Например, бит «защита от записи» регистра CR0, для того, чтобы получить доступ к коду, защищенному от записи.
- In-Memory Code Modifications (не нашелся, как сказать это по-русски). Включая non-paged код драйверов, ядра windows, HAL, SSDT.
- Скрытый код. Любимый трюк создателей руткитов: выполнять код вне ядра и драйверов. Традиционные типы антируткитов в общем случае не способны обнаружить такое поведение.
Кроме этого было проделано много research-работы. Пришлось также покопаться в коде и для совместимости с остальными известными анти-руткитами :)
Теперь самое главное — для кого адресована эта тулза. Конечно, не для end-user'ов. Утилита предназначена прежде всего для специалистов по информационной безопасности, и для технически-продвинутых людей.
Что дальше?
Однажды я получил такое письмо:
Hello Roman -
Greetings from San Francisco. I wanted to see if I could get a few minutes of your time to learn a bit more about North Security Labs & share with you the types of services my firm offers. Basically, we assist technology firms based in Europe with their growth planning and/or consideration of expansion into the US and assist with any potential fundraising required. With one of our recent clients, [removed], we helped advise them to expand from Budapest to Boston as part of a growth strategy. After raising a few rounds of funding and growing the business globally, they recently went public on the NASDAQ here in the U.S.
You may be wondering how I learned about North Security Labs. The name of the Company came up during a conversation recently at a Security Conference here in the U.S. So I thought it made sense to reach out to you and learn more if possible and see if there was any way I could be helpful in your growth plans.
Thanks Roman and look forward to hearing back from you or one of your colleagues if more appropriate.
Другими словами, инвесторы интересуются, и наше имя уже всплывало на различных security-конференциях, хотя мы на них не бывали. Но очень хотелось бы. Все заработанные деньги были потрачены на поддержку телесного воплощения нашего сознания :) Куда-то поехать пока не позволяют наши финансовые возможности.
Также мы получали предложения от российских инвесторов. Но предложение продать 50% долю за $50K нас не устраивает.
В плане развития компании и различных решений/продуктов мы не останавливаемся. Ведь готовый hypervisor дает множество возможностей в плане информационной безопасности, и не только: защита персональных данных, защита от утечек информации, эмуляция различных hardware device'ов и т.д.
Более того, наш продукт будет встроен в наш антивирусный сканер (а далее и антивирус), над которым сейчас идет работа.
Дорога к своему антивирусу
Есть люди, которые пишут свои операционные системы (даже есть такая шутка — какой настоящий программист не писал своей ОС с нуля?), а есть люди которые пишут антивирусы. На самом деле все не так запущено как кажется.
После переговоров с американскими инвесторами мы обращались за инвестициями в Яндекс и к некоторым другим венчурным фондам. Из Яндекс'а не ответили (что явно указывает на отношение к подающим заявки). Некоторые отвечали, что проект слишком сложный.
Но у нас было на этот счет другое мнение. В один прекрасный момент мы поняли, что сможем сделать свой антивирус не хуже, чем у остальных. И мы решили начать с антивирусного сканера. Который отличается от антивируса тем, что в нем нет HIPS'а и Anti-rootkit'a. Оставив самое простое (HIPS) на потом, мы начали делать свой сканер.
Через некоторое время сканер был готов. И получилось не хуже, чем у остальных. Кроме самого сканера мы сделали хорошую библиотеку для эмуляции исполняемого кода с поддержкой бинарной трансляции и остальными вкусностями. Эмулятор получился настолько хорошим, что мы сами удивились его скорости и эффективности.
Эмулятор очень быстро распаковывал UPX, ASPack, MEW и др. Имел общий механизм распаковки сторонних утилит упаковки, работал на Windows и Linux, и многое другое. Кстати, у многих производителей антивирусов до сих пор нет эмулятора. Этим мы уже выгодно отличаемся от остальных. У многих также нет гипервизора. Что является еще одним подспорьем для нас.
Деньги заканчивались, и мы решили продать эмулятор некоторым компаниям, у которых его не было. Сделали даже pdf'ку на эту тему:
northsecuritylabs.com/downloads/avelib.pdf
Но никто не купил. Все-таки для продаж нужен отдельный человек. Или нужно постоянно посещать security-конфы, выступать, рассказывать людям о том, каких успехов ты добился. Иначе никто о тебе не узнает (до тех пор, пока не заработаешь миллионы).
Долго ли, коротко ли, сканер постепенно обретал законченный вид и мы стали придумывать UI. Сейчас мы остановились на том, что у нас есть работающий сканер, но не хватает UI и хорошего тестирования.
Так что, возможно через год, мы представим вам свой антивирусный сканер. А через пару-тройку лет мы опровергнем глупый шаблон, который говорит о том, что на разработку своего антивируса нужно много денег.
До скорых встреч! :)
19.11.2011 18:27+0400