Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 9
я сам подменил этот файл для журналирования операций в шеллеМожно об этом подробнее?
Ух, ребята, похоже моя робкая попытка перевести интересное исследование F-Secure выльется в целый цикл статей :)
Можно, конечно, но только краткоб потому как копипаст и писать о нём можно целую статью. Вообще автор этого приёма — не я, о нём писалось в литературе, но приём очень удобен.
Проблематика в том, что в Windows невозможно посмотреть историю вызовов в шелле. Точнее не так — посмотреть историю можно (DOSKEY /history), однако если данное конкретно окно cmd.exe закрыть или систему перезагрузить — всё потеряется. А иногда просмотреть эту историю очень хочется, потому что ряд зловредов тупо выполняет операции самоуничтожения в шелле.
Можно экстрагировать команды шелла из дампов памяти — но ради такого мелкого шага заниматься дампированием и сканироваием Volatility как-то сильно круто :) К счастью, есть замечательный проект «опенсорсирования» Windows — ReactOS. Оттуда можно скачать исходники cmd.exe, немного подправить код и перекомпилировать заново. Полученный cmd.exe полностью совместим с Windows, но обладет «добавочным» функционалом.
На данный момент все мои тестовые платформы Windows снабжены таким подменённым cmd.exe, кстати, вот этот лог в статье:
— это оттуда.
Можно, конечно, но только краткоб потому как копипаст и писать о нём можно целую статью. Вообще автор этого приёма — не я, о нём писалось в литературе, но приём очень удобен.
Проблематика в том, что в Windows невозможно посмотреть историю вызовов в шелле. Точнее не так — посмотреть историю можно (DOSKEY /history), однако если данное конкретно окно cmd.exe закрыть или систему перезагрузить — всё потеряется. А иногда просмотреть эту историю очень хочется, потому что ряд зловредов тупо выполняет операции самоуничтожения в шелле.
Можно экстрагировать команды шелла из дампов памяти — но ради такого мелкого шага заниматься дампированием и сканироваием Volatility как-то сильно круто :) К счастью, есть замечательный проект «опенсорсирования» Windows — ReactOS. Оттуда можно скачать исходники cmd.exe, немного подправить код и перекомпилировать заново. Полученный cmd.exe полностью совместим с Windows, но обладет «добавочным» функционалом.
На данный момент все мои тестовые платформы Windows снабжены таким подменённым cmd.exe, кстати, вот этот лог в статье:
> C:\Documents and Settings\1\> ** New Command Shell [PID:1996]
> del C:\DOCUME~1\1\LOCALS~1\Temp\explorer.exe
> ** New Command Shell [PID:3144]
> del C:\2008.exe
— это оттуда.
Разве обязательно перекомпилить CMD.exe для того, чтобы просто логгировать? Можно ведь простой прокси-exe написать, заставить его логгировать все и передавать управление CMD_Original.exe — переименованному оригиналу.
Или современные вирусы выполняют какие-то проверки относительно этого?
Или современные вирусы выполняют какие-то проверки относительно этого?
Поделитесь бинарником?
Можно уже делать приложение сохраняющую всю хистори прошлых команд и выводящую её в шелле путем волшебной клавиши. Линукс форевер!
Вопрос — проверка антивирусом с загрузочных CD/флешки ведь вылечит систему полностью, без перезаражения после перезагрузки?
Перезалейте, пожалуйста, картинки на habreffect.ru/!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ручное удаление Smitnyl.A