|
|
|
Иннова. Скандалы Интриги Расследования!
| |
| dio | Дата: Вторник, 26.07.2011, 12:44 | Сообщение # 31 |
 Легат
Группа: Администраторы
Сообщений: 1839
Репутация: 25
Статус: Offline
| Quote (DronS) Санта-Барбара блин)))
она и есть))
Quote (DronS) И нечего на Ереванцев наезжать) Да, у них руки из ЖО...) Но заказали разработку ведь не они сами у себя)
так ведь вроде они с инновой почти одно целое?
PS начальство у тебя неблагодарное конечно.. печально..
|
|
| |
| DronS | Дата: Вторник, 26.07.2011, 13:06 | Сообщение # 32 |
 Старожил
Группа: letale
Сообщений: 100
Репутация: 0
Статус: Offline
| Quote (dio) так ведь вроде они с инновой почти одно целое?
Хотя да, ты прав) Не очень слежу за этим семейством)) Просто, как я говорил раньше, для игр у меня отдельный комп, так что если какой шухер, то fdisk /dev/sda мне поможет)))
Quote (dio) PS начальство у тебя неблагодарное конечно.. печально..
Ниче, до конца сентября осталось продержаться) все свои личные дела улажу и ариведерчи)) Просто после 7 лет армии нужно было как-то прочувствовать гражданку) да и уладить кое-какие дела после увольнения.
Просто позорно как-то...
В армии исследовали неизвестные протоколы в спутниках, а тут эникейство еще то... А за нормальные труды даже спасибо не дождешься...
В подчинении было 60 человек, когда на смену заступал, а тут какая-то сопливая девка (хотя и старше меня лет на 5-6, но по-другому ее назвать не могу), которая 2мя прогерами и 2мя сисадминами не может нормально управляться (наверно думает, что всего только "кнутом" можно добиться)...
Сообщение отредактировал DronS - Вторник, 26.07.2011, 13:22 |
|
| |
| DronS | Дата: Вторник, 26.07.2011, 15:56 | Сообщение # 33 |
|
Старожил
Группа: letale
Сообщений: 100
Репутация: 0
Статус: Offline
| Да, кстати, на хабре комент к этой теме:
"Да, занятно. Хорошо, что я играл в World Of Warcraft, а не в LA...."
Спешу его расстроить и довести до всех, что не только у нас такой разброд и шатание))
http://www.xakep.ru/magazine/xa/133/068/1.asp
Читать с заголовка "Фарминг с умом".
А может Shapa и Хогланд братья близнецы?)))
|
|
| |
| dio | Дата: Вторник, 26.07.2011, 20:40 | Сообщение # 34 |
|
Легат
Группа: Администраторы
Сообщений: 1839
Репутация: 25
Статус: Offline
| Почитал статью) ну, очевидно же что вововский троянец явно не в ринг0 выполняется, как фрост, а потому гораздо менее опасен...
У меня в вин7 х64 при корректном выходе из игры, фрост намертво вешает все запущенные процессы, в которые внедрил модуль..
Причем представитель инновы заявил, что о проблеме известно. Это было вскоре после выхода 2.5, а воз и ныне там... Проблема проявляется не на всех вин7 х64, видимо еще что то сказывается (модель проца например)
Это я опять же к тому, что разработчикам фроста (иннове) срать на юзеров. Решается убийством процесса айона, при этом модуль фроста остается загруженным во все процессы, но хоть перезагружать комп не приходится...
|
|
| |
| DronS | Дата: Среда, 27.07.2011, 09:56 | Сообщение # 35 |
|
Старожил
Группа: letale
Сообщений: 100
Репутация: 0
Статус: Offline
| Quote (dio) ну, очевидно же что вововский троянец явно не в ринг0 выполняется, как фрост, а потому гораздо менее опасен...
А это всеобщее заблуждение) 99% пользователей после установки винды работает под учеткой с админскими правами.
Вспомнить хотябы тот же Pinch, сколько он данных увел в свое время, а это ring3.
А если вопрос в детекте антивирем, то обрадую, антивирь полная лажа) самый лучший антивирь - это руки)
Находим сигнатуру, на которую ругается AV, берем простейший XOR, закрываем любым ключем это место в коде (а можно и всю .text область), вуаля, по сигнам нас уже не палят.
А далее добавляем антиэмуль, что тоже не особо сложно, ибо любой AV эмулит код только до определенной вложенности инструкций. Добавим мусора, добавим еще несколько хитростей по возврату из функций и AV тихо курит за углом)
На антиотладку можно даже не заморачиваться в нашем случае, т.к. имеется функция автообновления - сделал пакость и обновился обратно в "чистенький" кодик)
Для полного закрытия от каспера и веба таким способом публичного троянца "Poison Ivy" у меня уходило максимум 2-3 часа)
Так что возможности у ring3 отнюдь не детские)
|
|
| |
| dio | Дата: Среда, 27.07.2011, 15:54 | Сообщение # 36 |
|
Легат
Группа: Администраторы
Сообщений: 1839
Репутация: 25
Статус: Offline
| "Гораздо менее опасен" - я не имел ввиду что на р3 совсем безопасно, но хотя бы тут у тебя будет полный контроль над процессом и заразу относительно несложно будет обнаружить/вычистить.
На р0 ты даже можешь никогда и не узнать что у тебя что то поселилось.
(естественно я не имею ввиду конкретно тебя, а вообще среднестатистического юзера, который надеется только на антивирь, с руками там вообще все плохо)
Насчет сигнатур, как только начнется массовая паника, антивири тут же обновят сигнатуры. А ты с р3 даже не каждый антивирь сможешь убить, но убивать антивирь это вообще палево =)
|
|
| |
| DronS | Дата: Среда, 27.07.2011, 16:02 | Сообщение # 37 |
|
Старожил
Группа: letale
Сообщений: 100
Репутация: 0
Статус: Offline
| Quote (dio) Насчет сигнатур, как только начнется массовая паника, антивири тут же обновят сигнатуры.
Quote (DronS) сделал пакость и обновился обратно в "чистенький" кодик)
В этом-то и прикол) Ключи меняй каждый раз и декриптор немного дописывай и AV'шники навсегда курить уйдут)
Так и работают полиморфные приватные крипторы. Только ручками все гораздо эффективнее, чем купленным непойми у кого криптором.
|
|
| |
| dio | Дата: Среда, 27.07.2011, 16:12 | Сообщение # 38 |
|
Легат
Группа: Администраторы
Сообщений: 1839
Репутация: 25
Статус: Offline
| Quote (DronS) В этом-то и прикол) Ключи меняй каждый раз и декриптор немного дописывай и AV'шники навсегда курить уйдут)
А вот тут не совсем понятно как ты это сделаешь.. Юзер сабмитит текущий код, если сабмит массовый, вирлабы быстро реагируют и выпускают апдейт и половина ботнета, который ты собирал достаточно долго уже не заражена..
+ поведенческий анализ, а не только сигнатурный.
потому сейчас выживают достаточно долго только руткиты, р3 вещи катят только когда надо конкретного человека скомпрометировать, или не стоит цель незаметно что то делать.. (как же меня достали винлокеры %))
|
|
| |
| DronS | Дата: Среда, 27.07.2011, 16:26 | Сообщение # 39 |
|
Старожил
Группа: letale
Сообщений: 100
Репутация: 0
Статус: Offline
| Quote (dio) А вот тут не совсем понятно как ты это сделаешь..
Я про пример Близардов толкую.
Смысл в том, что юзеры верят им.
Цепочка:
- Закрыл подозрительные действия кода указанным выше способом
- Обновил своего "Сторожа"
- Выполнил все, что надо
- Обновил "Сторожа" обратно
- Почистил за собой
Никто и вякнуть не додумается) Ну... если конечно не злоупотреблять) на этом обычно и палятся)
Отсюда вывод: сам по себе чистый "Сторож" (хоть и ring3) с возможностью обновляться - это уже ботнет)
Сообщение отредактировал DronS - Среда, 27.07.2011, 16:47 |
|
| |
| dio | Дата: Среда, 27.07.2011, 19:26 | Сообщение # 40 |
|
Легат
Группа: Администраторы
Сообщений: 1839
Репутация: 25
Статус: Offline
| в целом согласен, но вот поведение таких сторожей часто ловят антивирусы и помечают xxx.downloader =)
|
|
| |
| DronS | Дата: Четверг, 28.07.2011, 10:08 | Сообщение # 41 |
|
Старожил
Группа: letale
Сообщений: 100
Репутация: 0
Статус: Offline
| Ну на Poison Ivy никак не ругался) хотя в нем нагрузки выше крыши)
|
|
| |
|
|
