Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 35
А можно ли использовать эти мьютексы, чтобы избежать заражения? Специально все на целевой системе установить и все… profit!
Я не думаю, что серьезные вирусмейкеры будут использовать такой способ, больно топорный и легко обнаруживаемый. Так часто прикладные приложения препятствуют нескольким одновременным запускам.
Можно, кстати, улучшить данный метод, например использовать не константу, а вычислимое значение. Например брать ID какого-нибудь девайса на компе и преобразовывать его по хитрому алгоритму. Это как минимум затруднит поиск.
Интересная идея, но… Был бы я вирмейкером — я бы просто альтернативный файловый поток к какому нибудь ntoskrnl.exe дописал и его проверял… Не так заметно ИМХО.
по-моему все просто найти если знать где и что искать
«Знал бы прикуп — жил бы в Сочи» :)
Ясен хрен что найти можно все. Другой вопрос:
А) Кто будет искать?
Б) Кто будет перелопачивать огромную помойку файлов на винте?
Взял, приписал файловый поток к какому нибудь Desktop.ini в жопе диска — и хрен кто даже догадается туда полезть если знать не будет.
Ясен хрен что найти можно все. Другой вопрос:
А) Кто будет искать?
Б) Кто будет перелопачивать огромную помойку файлов на винте?
Взял, приписал файловый поток к какому нибудь Desktop.ini в жопе диска — и хрен кто даже догадается туда полезть если знать не будет.
Не наю как с этим обстоит в Vista/7 но для XP применение системой альтернативных потоков нетипично и их появление уже может вызвать подозрения. И не забываем, что есть компьютеры где только FAT.
даже ХР по умолчанию ставится на NTFS. Виста/7 — только на нтфс. а насчет их появления — да кто их заметит? а ведь есть еще менее известные аналоги, которые остались как наследие чуть ли не от OS/2 емнип…
ntfs-потоки может показать Streams By Mark Russinovich.
Суть статьи в том, что мьютексы для некоторых вирусов уже известны. Искать неизвестный мьютек не легче чем альт. поток.
как то это неэлегантно. Любое изменение файла отследить легче, чем маркеры в памяти. Лучше уж регистрировать в системе какой нибудь хитрый хоткей, и проверять его наличие.
Палится на раз и давно известно (Русток и ещё какой-то винлокер был год назад, забыл название).
Тема с альтернативными файловыми потоками уже по-моему разобрана несколько лет назад. К тому же прописывать в системных файлах заметно, а «в жопе диска» не надежно.
Бреееееед же, не юзабельно ниразу.
по-моему достаточно просто какой-нибудь любой другой объект ядра вместо мьютекса регистрировать — в общем-то это изменение одной строки кода
handle.exe -a > log.txt
handle.exe: команда не найдена
handle.exe: команда не найдена
А где можно найти более обширный список известных «специфических» мьютексов?
Мьютексы это частный случай. Также довольно часто используется именованный CreateFileMapping, который по факту при этом использовании даёт те же результаты. Если разбирать проблему более подробнее, то можно выявить следующие варианты проверки зараженности:
- Именованные мьютексы
- Именованный FileMapping
- Именованные Семафоры
- Наличие определенного Атома
- Ключ в реестре
- Файл на винте
- Наличие окна с определенным классом/именем
И еще много всего. Хотя судя по виду, сейчас вирмейкеры стали отказываться от постоянных имен. Недавно встретил трояна, который использовал именованный FileMapping, для которого имя генерировалось в зависимости от серийного номера тома на котором была установлена Windows. Таким образом на разных компьютерах были разные имена (оформленные в стиле GUID), что полностью мешало выявлению его на других компьютерах.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Использование мьютексов для обнаружения активного заражения