Comments 24
Самый яркий их представитель, UFR Stealer имеет симпатичный интерфейс
Скорее широко известный у нехороших товарищей среднего школьного возраста — он русскоязычен, красивый интуитивно понятный GUI, пара кнопок, небольшой вес билда, большой функционал, возможность кастомизации в том же интерфейсе. Был широко популярен в свое время в странах СНГ (его очень многие использовали).
А о чем статья вообще? О том как создавать чекбоксы и как по маске файлы искать? Ладно бы еще какую-то изюминку ковыряли, так нет же — топор топором.
На выходе exe 9 Кб… и приглашение скачать поставить фреймворк. ппц.
Вы из какого года это пишете? Framework уже с Vista поставляется, лезет через апдейты, а количество программ, его требующих превышает все разумные пределы.
Шёл 2015 год, на компе установлена лицензионная копия Windows 8, включено автоматическое обновление, поставлена туча различных программ и сопутствующие им зависимости, и всё равно, при запуске какой-нибудь утилиты да вылезет заветное окошко, что msvcr*.dll не найден. Ну и что с того, что тулза не свежая, зато весит мало!
Тут вы мимо. msvcr*.dll не имеет никакого отношения к .NET Framework.
Это как раз родной С++
Это как раз родной С++
Разве «Microsoft Visual C++ Redistributable Package», вместе с которым распространяется данная библиотека, не фреймворк?
Это не .NET Framework и к нему не имеет отношения. Соответственно не имеет отношения к вашему первоначальному высказыванию.
И это C++ Runtime, т.е. библиотека для запуска приложений, написанных на C++ с помощью Visual Studio. Распространяется отдельно, т.к. этот рантайм разбух до неприличных размеров, чтобы засовывать его в каждый файл, он требуется куче приложений, поэтому лучше поместить в отдельное место, и к нему могут выходить апдейты и багфиксы со стороны Microsoft, которые не будут требовать перекомпиляции приложения.
И это C++ Runtime, т.е. библиотека для запуска приложений, написанных на C++ с помощью Visual Studio. Распространяется отдельно, т.к. этот рантайм разбух до неприличных размеров, чтобы засовывать его в каждый файл, он требуется куче приложений, поэтому лучше поместить в отдельное место, и к нему могут выходить апдейты и багфиксы со стороны Microsoft, которые не будут требовать перекомпиляции приложения.
Тутошный я, год 2015, планета Земля, и реальность совпадает.
И пишу на C#.
Просто я знаю, как разворачиваются приложения и сколько это требует внимания. И тестирования. Вдумчивого тестирования с чистыми и грязными тестовыми машинами.
И мой опыт говорит только об одном — Microsoft умеет и любит делать так, чтобы через годик-два при установке софтины админ увидел окошко с приглашением поставить что-то вкусненькое. Это будет делом пары минут на отдельной машине, пол-часика в домене, всё удобно и приятно, но приглашение скачать — будет.
Кто согласен —пририсуй вагончик поставь плюсик
И пишу на C#.
Просто я знаю, как разворачиваются приложения и сколько это требует внимания. И тестирования. Вдумчивого тестирования с чистыми и грязными тестовыми машинами.
И мой опыт говорит только об одном — Microsoft умеет и любит делать так, чтобы через годик-два при установке софтины админ увидел окошко с приглашением поставить что-то вкусненькое. Это будет делом пары минут на отдельной машине, пол-часика в домене, всё удобно и приятно, но приглашение скачать — будет.
Кто согласен —
Да. Хакеры уже не те
думаю АВ кричать будут еще больше на столь маленький файл…
Представим что у антивирусов нет никакой магической эвристики и они работают только по базе сигнатур. Допустим что антивирусы это очень простые программы, которые выполняют только один алгоритм — поиск подстроки в строке, без какого либо анализа содержимого файлов. В таком случае чем больше размер файла, тем больше вероятность того, чтобы в нём найдутся сигнатуры, которые есть в базе антивируса.
Вы про «Антивирус Бабушкина»?
Когда задавался этим вопросом, работало почти на всех антивирусах представленных в проекте virustotal, за исключением некоторых нонеймов, которые редко что детектили. Исследование проводил не в целях написания неуловимого виря, а для защиты своего ПО от нападок со стороны антивирусов, которые в некоторых момент вдруг начинали детектить вирусы в казалось бы нормальных приложениях.
В результате оказалось, что если на Delphi создать пустое консольное приложение, то несколько антивирусов его сразу заподозрят в неладном, если к этому приложению добавить VCL библиотеки, которые раздуют вес приложения с ~10кб до ~400кб, при этом опять же не добавлять никакого функционала, то уже больше антивирусов посчитают нужным сказать что файл заражен Generic.Trojan и тому подобное. Если к функционалу добавить вызовы каких-нибудь «страшных» функций из WinAPI, то можно получить почти 100% вердикт что файл — вирус.
Но стоит замаскировать таблицу импорта, например, разделив название функции CreateFileA на три отдельных слова, которые в коде конкатенируются и всё, ноль реакции со стороны антивирусов, какие бы функции не использовал, откуда бы их не импортировал. После того, как узнал об этом, довольно надолго забыл про проблемы пользователей с очередным новым антивирусом или новой версией баз. Правда потом один антивирус нашёл у меня на одном из поддоменов .txt файл с вирусом и решил заблокировать доступ своим пользователям к данному домену и всем его поддоменам, но это уже другая история, и лечилась она иначе.
В результате оказалось, что если на Delphi создать пустое консольное приложение, то несколько антивирусов его сразу заподозрят в неладном, если к этому приложению добавить VCL библиотеки, которые раздуют вес приложения с ~10кб до ~400кб, при этом опять же не добавлять никакого функционала, то уже больше антивирусов посчитают нужным сказать что файл заражен Generic.Trojan и тому подобное. Если к функционалу добавить вызовы каких-нибудь «страшных» функций из WinAPI, то можно получить почти 100% вердикт что файл — вирус.
Но стоит замаскировать таблицу импорта, например, разделив название функции CreateFileA на три отдельных слова, которые в коде конкатенируются и всё, ноль реакции со стороны антивирусов, какие бы функции не использовал, откуда бы их не импортировал. После того, как узнал об этом, довольно надолго забыл про проблемы пользователей с очередным новым антивирусом или новой версией баз. Правда потом один антивирус нашёл у меня на одном из поддоменов .txt файл с вирусом и решил заблокировать доступ своим пользователям к данному домену и всем его поддоменам, но это уже другая история, и лечилась она иначе.
но вы не забывайте что по сути новое ЕХЕ у АВ в песочнице и вдруг ему надо заюзать потенциально вредоносное API, он у с себя такой в голове для поведенческой активности:
«хм… WriteMemory + 80% к опасности»
«размер в 5кб, омг скорей всего даунлодер + 20% к опасности »
я конечно через чур утрировано все привожу, но всякое бывает, здругой стороны такой вирус оправдан если грузить его через сплоиты сразу в память, либо написать и сжать и сделать еще меньше, то вообще можно сразу с эксплоита грузить =)
но с технической стороны статью интересно было почитать
«хм… WriteMemory + 80% к опасности»
«размер в 5кб, омг скорей всего даунлодер + 20% к опасности »
я конечно через чур утрировано все привожу, но всякое бывает, здругой стороны такой вирус оправдан если грузить его через сплоиты сразу в память, либо написать и сжать и сделать еще меньше, то вообще можно сразу с эксплоита грузить =)
но с технической стороны статью интересно было почитать
«Хакерская» программа с UI где пользователь должен отметить галочками типы файлов которые он хочет отравить «хакерам», при этом любезно указать логин и пароль для «хакерского» FTP сервера на который эти файлы будут отправленны… Я даже не знаю как на это реагировать…
Пройдет еще немного времени и «хакеры» напишут статью о том как редактировать PATH в Windows 10 для того чтобы пользователь мог запускать «хакерские» программы (наподобие описанной в статье) из командной строки не указывая полный путь к «вредоносному» *.exe
Пройдет еще немного времени и «хакеры» напишут статью о том как редактировать PATH в Windows 10 для того чтобы пользователь мог запускать «хакерские» программы (наподобие описанной в статье) из командной строки не указывая полный путь к «вредоносному» *.exe
Вы еще забыли напомнить, что для этого надо отключить UAC, Антивирус, фаервол и защиту на роутере, и работать исключительно под Администратором с повышенными привилегиями, ставить все подряд, использовать все подряд кряки, и не забыть с этого компьютера регулярно заходить на свой суперхакерский клиент банк с хакнутыми миллионами…
Ой, простите. вырвалось, я не хотел…
Ой, простите. вырвалось, я не хотел…
Это же билдер с дебагом.
Сообщение от автора топика
Dywar (read-only):
Спасибо что уделили время прочитав статью и оставили отзыв.
priv8v — низкий поклон.
Теперь разбавим комментарии позитивчиком, что бы не вводить читателя в заблуждение игрой в одну калитку.
1) Вопрос — «при этом любезно указать логин и пароль для «хакерского» FTP сервера на который эти файлы будут отправленны».
Ответ — «Кратко о программе… от аверов не бегает.» revers etc… КЭП очевидность передает привет :)
2) Очень много умных слов, наверно человек разбирается в вопросе. Но так ли это на самом деле?
а) UAC.
Задача — управлять маркером доступа.
Пользователь может запустить браузер, который прочитает файл с паролями? — Да.
Может ли сделать тоже самое Stealer запущенные тем же пользователем? — Да.
Возможно имелся ввиду фильтр Windows SmartScreen.
Где почитать? — М. Руссинович, Д. Соломон — «Внутреннее устройство Microsoft Windows 6-е издание», стр. 651.
б) Антивирус.
Согласен, сложно.
Ответ — криптор. Если прочитать тему до конца, то там это слово встречается.
в) Фаервол.
Согласен, сложно.
Ответ — (один из) часто открытые порты 80, 443.
FireWall следит за тем как был запущен разрешенный процесс? — Больше нет чем да.
г) Роутер.
Возможная проблема — анализирует трафик до 2-3 уровня OSI, по заранее указанным правилам.
Он контролирует запущенные процессы на компьютере, ноутбуке, планшете, телефоне? — Нет.
Он может отличить запрос пользователя upload file ..., или подобный запрос от Stealer? — Нет.
д) Администратор с повышенными привилегиями.
Stealer изменяет настройки системы которые могут повлиять на других пользователей? — Нет.
Stealer нуждается в правах администратора? — При определенных обстоятельствах да, но в данном конкретном примере нет.
e) Качать все подряд.
Пример.
Notepad++ — популярная программа? — Да.
Notepad++ — подписан ЭЦП? — Нет.
Вы всегда сверяете хэш файлов скачанных по сети? — Больше нет чем да.
Если все так *просто почему это не написано сразу?
Ответ.
Человек может ходить на работу пешком? — Да.
Человек может может ползти, прыгать, бежать, кувыркаться проделывая тот же путь? — Да.
Почему он этого не делает? — Возможно потому что это не всегда уместно.
Остались вопросы? Контакты в теме.
Спасибо что уделили время прочитав статью и оставили отзыв.
priv8v — низкий поклон.
Теперь разбавим комментарии позитивчиком, что бы не вводить читателя в заблуждение игрой в одну калитку.
1) Вопрос — «при этом любезно указать логин и пароль для «хакерского» FTP сервера на который эти файлы будут отправленны».
Ответ — «Кратко о программе… от аверов не бегает.» revers etc… КЭП очевидность передает привет :)
2) Очень много умных слов, наверно человек разбирается в вопросе. Но так ли это на самом деле?
а) UAC.
Задача — управлять маркером доступа.
Пользователь может запустить браузер, который прочитает файл с паролями? — Да.
Может ли сделать тоже самое Stealer запущенные тем же пользователем? — Да.
Возможно имелся ввиду фильтр Windows SmartScreen.
Где почитать? — М. Руссинович, Д. Соломон — «Внутреннее устройство Microsoft Windows 6-е издание», стр. 651.
б) Антивирус.
Согласен, сложно.
Ответ — криптор. Если прочитать тему до конца, то там это слово встречается.
в) Фаервол.
Согласен, сложно.
Ответ — (один из) часто открытые порты 80, 443.
FireWall следит за тем как был запущен разрешенный процесс? — Больше нет чем да.
г) Роутер.
Возможная проблема — анализирует трафик до 2-3 уровня OSI, по заранее указанным правилам.
Он контролирует запущенные процессы на компьютере, ноутбуке, планшете, телефоне? — Нет.
Он может отличить запрос пользователя upload file ..., или подобный запрос от Stealer? — Нет.
д) Администратор с повышенными привилегиями.
Stealer изменяет настройки системы которые могут повлиять на других пользователей? — Нет.
Stealer нуждается в правах администратора? — При определенных обстоятельствах да, но в данном конкретном примере нет.
e) Качать все подряд.
Пример.
Notepad++ — популярная программа? — Да.
Notepad++ — подписан ЭЦП? — Нет.
Вы всегда сверяете хэш файлов скачанных по сети? — Больше нет чем да.
Если все так *просто почему это не написано сразу?
Ответ.
Человек может ходить на работу пешком? — Да.
Человек может может ползти, прыгать, бежать, кувыркаться проделывая тот же путь? — Да.
Почему он этого не делает? — Возможно потому что это не всегда уместно.
Остались вопросы? Контакты в теме.
Почему обойден стороной поведенческий анализ? Практически каждый нормальный ав-комплекс заорет благим матом, если увидит, что некое непонятное ПО начало вот так вот в лоб лопатить файлы с чужими паролями.
Где-нибудь можно почитать про эти паттерны? И как они реагируют на менеджеры паролей?
Думаю, что нигде не можно почитать. А те кто знает в силу тех или иных обстоятельств как это все реализовано, как там устроено и по какой логике работает — в силу тех же самых обстоятельств это не расскажут, скорее всего.
Если грубо и коротко, то: популярные менеджеры паролей с точки зрения АВ не подпадают по категорию «некое непонятное ПО».
Если грубо и коротко, то: популярные менеджеры паролей с точки зрения АВ не подпадают по категорию «некое непонятное ПО».
Реинкарнация Snitch на C#?
Sign up to leave a comment.
Stealer на C#. Мы уложились в 9 Кб исполнимого файла