Ну не буду же я блин постить на Хабре серьезный работающий зловред - это уже перебор ))
Поэтому озвучиваю лишь идеи и риски, не более того.
Что с этой информацией делать решать читателям. Кому надо тот поймет.
Статья писалась прежде всего из спортивного интереса самой возможности разработки на чистой ОС и без установленных средств, описанное про антивирус не более чем возможный побочный эффект.
Ну да, вы описали как раз работу эвристического алгоритма, я и написал что по ощущениям такое осталось только у Касперского - "визжит свиньей" по поводу и без только он один.
У разных людей сильно разное отношение с реальностью, как и осознание происходящего с ними. А у описанного в статье «внезапного выключения» есть предыстория:
Я тоже когда-то был студентом, жил интересно и развлекался всеми доступными способами. Однажды как раз и сделал такой вот "пранк" с отключением компьютера одногруппника в случайное время через примерно такую же логику с поправкой на другие годы.
Единственное чего я не ожидал так это последствий: одногруппник тогда разбил свой компьютер об стену, выкинул системный блок из окна а сам уехал отдыхать в дурку с острым психозом.
Несмотря на то что считался «компьютерным специалистом» и вообще был на хорошем счету.
Так что кому пранк а кому шиза — все зависит от восприятия реальности.
15 лет назад еще выпускался журнал "Хакер" и все было несколько проще в плане компьютерной безопасности.
. А антивирус проверяет всё, что внешние файлы, что созданные в системе.
Если я вам перешлю готовый бинарник, то при попытке запуска появится окно с подтверждением и сообщением о "доверенном источнике". Если вы соберете этот же бинарник локально и затем запустите - такого сообщения не будет.
Все тоже самое с антивирусом, локально собранные бинарники он пропустит, даже если внутри будет эскалация привилегий или эксплоит, по той простой причине что эвристика осталась видимо только у Касперского а все остальные работают по сигнатурам бинарной сборки - т.е тупо по слепкам бинарников.
Очевидно что слепок локально собранного будет отличаться.
если на машине есть работающий компилятор, любой пользователь вне зависимости от прав и уровня доступа всегда может натворить дел.
Не существует защищенного окружения по определению и всегда можно выйти за рамки песочницы.
Кстати насчет системного диска: обычной (не embedded) Windows для работы нужен доступ на запись в системный диск, это не отключается и не настраивается в принципе.
А если есть такой доступ, то ограничение остается лишь на уровне вызовов API - через описанный в статье механизм привилегий и соответственно всегда остается возможность эскалации.
PowerShell это все же про скрипты, а тут полноценный компилятор, который выдает .exe с интересным функционалом.
Если описанного про выключение мало, представьте эту же логику, только запускаемую в фоне со случайным промежутком и прописыванием в автозагрузку у пользователя.
Работаете себе, через 15 минут компьютер выключается. Перезапускаете - выключается через полчаса.
В курсе ) На ЛОРе этот проект тоже сразу привели в пример, но проблема в том что это путь в никуда из-за невозможности так упаковать сколь-нибудь сложное приложение.
Была мысль на основе этого проекта реализовать загрузчик, который запустит уже полноценное приложение, но на практике даже такое оказалось слишком сложным в реализации.
Ну а вам бы стоило хоть раз по делу написать, хоть один комментарий про разбор логики работы, про код и внутренее устройство.
Было бы гораздо лучше, честное слово.
Возможно, но я хочу на это поглядеть )
Если покажете "Hello world" набитый опкодами в блокноте - пожму руку. Честно.
Ну не буду же я блин постить на Хабре серьезный работающий зловред - это уже перебор ))
Поэтому озвучиваю лишь идеи и риски, не более того.
Что с этой информацией делать решать читателям. Кому надо тот поймет.
Статья писалась прежде всего из спортивного интереса самой возможности разработки на чистой ОС и без установленных средств, описанное про антивирус не более чем возможный побочный эффект.
Тут сложно что-то сказать не видя код, судя по поиску эта сигнатура какая-то сильно общая и срабатывает на много чего.
А проверять я вообщем-то проверял, но статья-то как-бы не об этом ))
Угу, но разумеется столь крутой профессионал как вы сможет написать что-то покруче. Так что ждем ваших статей.
Ну тогда рад что столь сложная техническая статья, материал для которой я собирал не один год оказалась для вас не более чем "пранком".
Это уж совсем скотство какое-то:
Тему с динамической загрузкой библиотек в Go не изучал, но все же полагаю есть какое-то более разумное решение чем через дочерний процесс.
Ну да, вы описали как раз работу эвристического алгоритма, я и написал что по ощущениям такое осталось только у Касперского - "визжит свиньей" по поводу и без только он один.
У разных людей сильно разное отношение с реальностью, как и осознание происходящего с ними. А у описанного в статье «внезапного выключения» есть предыстория:
Единственное чего я не ожидал так это последствий: одногруппник тогда разбил свой компьютер об стену, выкинул системный блок из окна а сам уехал отдыхать в дурку с острым психозом.
Несмотря на то что считался «компьютерным специалистом» и вообще был на хорошем счету.
Так что кому пранк а кому шиза — все зависит от восприятия реальности.
"Блажен кто верует", лишь скромно надеюсь что вы не имеете отношения к РВСН и вообще далеко от Питера и Москвы :)
15 лет назад еще выпускался журнал "Хакер" и все было несколько проще в плане компьютерной безопасности.
Если я вам перешлю готовый бинарник, то при попытке запуска появится окно с подтверждением и сообщением о "доверенном источнике". Если вы соберете этот же бинарник локально и затем запустите - такого сообщения не будет.
Все тоже самое с антивирусом, локально собранные бинарники он пропустит, даже если внутри будет эскалация привилегий или эксплоит, по той простой причине что эвристика осталась видимо только у Касперского а все остальные работают по сигнатурам бинарной сборки - т.е тупо по слепкам бинарников.
Очевидно что слепок локально собранного будет отличаться.
если на машине есть работающий компилятор, любой пользователь вне зависимости от прав и уровня доступа всегда может натворить дел.
Не существует защищенного окружения по определению и всегда можно выйти за рамки песочницы.
Кстати насчет системного диска: обычной (не embedded) Windows для работы нужен доступ на запись в системный диск, это не отключается и не настраивается в принципе.
А если есть такой доступ, то ограничение остается лишь на уровне вызовов API - через описанный в статье механизм привилегий и соответственно всегда остается возможность эскалации.
Надеюсь что виденные объекты располагались далеко от Ленинградской области или Москвы с подмосковьем.
PowerShell это все же про скрипты, а тут полноценный компилятор, который выдает .exe с интересным функционалом.
Если описанного про выключение мало, представьте эту же логику, только запускаемую в фоне со случайным промежутком и прописыванием в автозагрузку у пользователя.
Работаете себе, через 15 минут компьютер выключается. Перезапускаете - выключается через полчаса.
я имею ввиду хотелось бы увидеть вашу версию вызова
Ваша версия?
Напишите в ТГ @alex0x08 , выдам сборку.
Тесты автоматически запускаются при сборке, плюс была же попытка реального использования - ради чего и собирался большой шаблон проекта.
В курсе ) На ЛОРе этот проект тоже сразу привели в пример, но проблема в том что это путь в никуда из-за невозможности так упаковать сколь-нибудь сложное приложение.
Была мысль на основе этого проекта реализовать загрузчик, который запустит уже полноценное приложение, но на практике даже такое оказалось слишком сложным в реализации.