Посл.ответ |
Сообщение |
 Ранг: 327.3 (мудрец) Активность: 0.25↘0 Статус: Участник
|
Создано: 17 марта 2006 22:53 · Поправил: Модератор · Личное сообщение · #1
вот
очень поучительная статья
eb7b_VMWare.rar.zip
----- in search of sunrise | Сообщение посчитали полезным: |
|
 Ранг: 251.8 (наставник), 17thx Активность: 0.12↘0 Статус: Участник Seeker
|
Создано: 17 марта 2006 23:09 · Личное сообщение · #2
bloom
Очень интересно
Можно ссылочку на оригинал? (Картинки хочу и закинуть в CHM)
----- DREAMS CALL US | Сообщение посчитали полезным: |
 Ранг: 327.3 (мудрец) Активность: 0.25↘0 Статус: Участник
|
Создано: 17 марта 2006 23:15 · Личное сообщение · #3
=TS=
пока это есть только на диске хакер.
ссылки на оригинал нет.
там картинок на 2 метра, и ни одной по теме.
аниме всякое, а я на диал-апе.
----- in search of sunrise | Сообщение посчитали полезным: |
Ранг: 45.5 (посетитель) Активность: 0.05↘0 Статус: Участник
|
Создано: 17 марта 2006 23:25 · Личное сообщение · #4
=TS= пишет:
Очень интересно
Можно ссылочку на оригинал? (Картинки хочу и закинуть в CHM)
Я ее какраз читаю. Завтра закину оригинал с картинками.
| Сообщение посчитали полезным: |
 Ранг: 536.4 (!), 171thx Активность: 0.66↘0.13 Статус: Администратор Создатель CRACKL@B
|
Создано: 17 марта 2006 23:30 · Поправил: Bad_guy · Личное сообщение · #5
Вот ведь крис маньяк, придётся мне теперь второй комп покупать
"на машинный код — в bmp, jmp и wmf файлах. "
по моему, у автора в голове каша из ассемблера и всего остального - нельзя так долго за компом сидеть
PS. Эх плохой пример подаю, но не удержался пофлудить.
----- Всем не угодишь | Сообщение посчитали полезным: |
 Ранг: 120.6 (ветеран) Активность: 0.09↘0 Статус: Участник rootkit developer
|
Создано: 17 марта 2006 23:38 · Личное сообщение · #6
КГ/АМ статья, выше хакера не тянет.
----- Скажем дружно - нафиг нужно. | Сообщение посчитали полезным: |
 Ранг: 251.8 (наставник), 17thx Активность: 0.12↘0 Статус: Участник Seeker
|
Создано: 17 марта 2006 23:39 · Личное сообщение · #7
Bad_guy
Ну насчет Wmf --- я самолично видел, как wmf (картинка, а не exe с таким расширением!) после запуска на просмотр тянул с инета файлы...
----- DREAMS CALL US | Сообщение посчитали полезным: |
 Ранг: 536.4 (!), 171thx Активность: 0.66↘0.13 Статус: Администратор Создатель CRACKL@B
|
Создано: 17 марта 2006 23:44 · Личное сообщение · #8
=TS=
Не спорю, просто я никогда не видел jmp файлов.
----- Всем не угодишь | Сообщение посчитали полезным: |
 Ранг: 251.8 (наставник), 17thx Активность: 0.12↘0 Статус: Участник Seeker
|
Создано: 18 марта 2006 00:45 · Личное сообщение · #9
а, ты об этом
----- DREAMS CALL US | Сообщение посчитали полезным: |
 Ранг: 207.4 (наставник) Активность: 0.21↘0 Статус: Участник Jeefo Recovery
|
Создано: 18 марта 2006 05:51 · Личное сообщение · #10
Хм, забавная статейка......
Вообще, проблемы безопасности виртуальных машин уже давно рассматривались, поэтому выход нечто подобного ожидалось......
В некоторых статьях до этого детект вирт. машины происходил просто поиском определенных ключей в реестре (когда вы ставили vmware например)......
А вообще, просто ставьте ShadowUser например, и никакого гимора не будет.... Или его вероятность упадет практически на нет.....
То Bad_guy - имелось в виду jpeg файлы..... Это ещё одна уязвимость винды в обработке этих файлов...... У меня даже где-то валялись такие "зараженные" картинки, на которые просто наводишь курсор, и проводник просто падал..... Хотя есть вероятность исполнения некоторого кода, например, запуск ЕХЕ-шника
А так, мне кажется, что с подобным мы вряд-ли столкнемся, чтобы писали червей специально под вирт машины...... Могут только такую функцию просто так включить в червя, и все равно, большого распространения это не получит, т.к. если и получит, то разработчик быстро полатает все дыры.....
----- The blood swap.... | Сообщение посчитали полезным: |
 Ранг: 221.8 (наставник) Активность: 0.15↘0 Статус: Участник
|
Создано: 18 марта 2006 06:09 · Личное сообщение · #11
Johnson Finger
ИМХО гемор будет если например низкоуровневое форматирование винта произойдет. по идее от этого шадов юзер не спасет....
| Сообщение посчитали полезным: |
 Ранг: 327.3 (мудрец) Активность: 0.25↘0 Статус: Участник
|
Создано: 18 марта 2006 19:31 · Личное сообщение · #12
Johnson Finger пишет:
У меня даже где-то валялись такие "зараженные" картинки, на которые просто наводишь курсор, и проводник просто падал.....
можете показать ? ну не видел я еще ни одного зараженного jpg или wmf файла.
нигде найти не могу.(((
----- in search of sunrise | Сообщение посчитали полезным: |
Ранг: 48.3 (посетитель) Активность: 0.02↘0 Статус: Участник
|
Создано: 18 марта 2006 19:52 · Поправил: Stiver · Личное сообщение · #13
bloom
можете показать ? ну не видел я еще ни одного зараженного jpg или wmf файла.
Держи, .jpg в архиве, пароль 'bsi-jpg'. Только Windows Explorer действительно падает  На .wmf вот ссылка, он калькулятор должен запускать:
c't-Browsercheck http://www.heise.de/security/dienste/browsercheck/demos/ie/wmfexp3.php
79fb_bsi_jpg_test.zip.zip
| Сообщение посчитали полезным: |
Ранг: 36.9 (посетитель) Активность: 0.02↘0 Статус: Участник
|
Создано: 18 марта 2006 21:20 · Поправил: Dark_Phoenix · Личное сообщение · #14
Мне не страшно. Все вири тестирую у одного знакомого юзера, чей комп, несмотря на все мои усилия вылетает из-за троянов, червей, эксплойтов и прочей живности с периодичностью раз в месяц. Согласитесь в таком зоопарке и вирь протестить (перед format c  не грех. Еще чего тока не приходит по мылу. У меня теперь даже появилось хобби, разбирать на запчасти черви и трояны что приходят по почте. Вот недавно отловил экземплярчик: я раньше никогда не видел, что бы в письме присылали ярлык .pif к досовской программе да еще и размером в 12 кило. тов. Касперский a.k.a. антивирус его смог распознать тока после смены расширения. назывался главное readme.pif
Жалко только я его случайно вытер при чистке мыльника  (( - все спам виноват
А вообще насколько я понял винда может запускать пифы, как экзешники, но к ним никогда не бывает контекстного меню типа "проверить на вирусы". Этим и пользуются.
Огромная просьба Bad_Guy'у: а нельзя отвести хотя бы пару метров для вирей и их конструкторов в разделе скачать. Материалом могу поделиться.
| Сообщение посчитали полезным: |
 Ранг: 536.4 (!), 171thx Активность: 0.66↘0.13 Статус: Администратор Создатель CRACKL@B
|
Создано: 18 марта 2006 22:13 · Личное сообщение · #15
Dark_Phoenix пишет:
а нельзя отвести хотя бы пару метров для вирей и их конструкторов в разделе скачать.
я считаю что вирмэкерство не имеет отношения к крэкингу
----- Всем не угодишь | Сообщение посчитали полезным: |
Ранг: 36.9 (посетитель) Активность: 0.02↘0 Статус: Участник
|
Создано: 19 марта 2006 00:41 · Поправил: Dark_Phoenix · Личное сообщение · #16
Ок.
ЗЫ: Вот кстати я вовремя вспомнил про пифный вирек - 5 минут назад пришла еще одна копия, только под другим именем.
В тексте письма:
DAЗADAOIUЕ OEIEЬIEЦU, писа_щие девуoки, анальная мастуdбация,
dука в анусе и все известные половые извdащения.
Iиса_щие девуoки dазвdатные oкольницы...
Kvassay
а вот и 12 килобайтный аттач: пароль на архив qwerty.
И не выпускайте на вский пожарный эту чтучку на комп - все не было возможности в нем как следет разобраться. Хрен знает что за тварь такая.
Держи, .jpg в архиве, пароль 'bsi-jpg'. Только Windows Explorer действительно падает На .wmf вот ссылка, он калькулятор должен запускать:
странно. Ни первое ни второе у меня не заработало...
77f6_view.link.index.image.txtV23.sexHdg21.rar.zip
| Сообщение посчитали полезным: |
Ранг: 23.6 (новичок) Активность: 0.01↘0 Статус: Участник
|
Создано: 19 марта 2006 02:08 · Личное сообщение · #17
Недавно еще и во флеше дырку нашли
А насчет Jpeg GDI+ owerflow так ему уже полтора года стукнуло и SP2 он не пробивает
| Сообщение посчитали полезным: |
 Ранг: 327.3 (мудрец) Активность: 0.25↘0 Статус: Участник
|
Создано: 19 марта 2006 10:21 · Личное сообщение · #18
господа
давайте по поводу вирей перейдем на ру-борд
_http://forum.ru-board.com/topic.cgi?forum=55&topic=1363#1
а то тут насколько я понял это не приветствуется
интересует обмен
----- in search of sunrise | Сообщение посчитали полезным: |
Ранг: 352.4 (мудрец), 4thx Активность: 0.15↘0 Статус: Участник retired
|
Создано: 19 марта 2006 14:03 · Личное сообщение · #19
mov ecx, 0Ah ; get_version
mov eax, 564d5868h; 'VMXh' ; magic
mov dx, 5658h; 'VX' ; magic
in eax, dx ; specially processed io cmd
; output: EAX/EBX/ECX = data
cmp ebx, 'VMXh' ;
je under_VMware ;under_VMware
xor eax,eax
ret
under_VMware:
ret
мне кажется патчем самой вмвари можно сделать чтобы этот способ больше не работал
| Сообщение посчитали полезным: |
Ранг: 23.6 (новичок) Активность: 0.01↘0 Статус: Участник
|
Создано: 20 марта 2006 01:42 · Личное сообщение · #20
Кстати не кто не знает, существует ли патч для VMware под винду? У Криса ссылка только для линуха
| Сообщение посчитали полезным: |
 Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)
|
Создано: 20 марта 2006 03:23 · Личное сообщение · #21
Ну вроде бы это должно быть по теме.
Определение VM www.offensivecomputing.net/files/active/0/vm.pdf
----- Computer Security Laboratory | Сообщение посчитали полезным: |
 Ранг: 199.6 (ветеран), 12thx Активность: 0.1↘0 Статус: Участник www.uinc.ru
|
Создано: 21 марта 2006 20:22 · Поправил: DrGolova · Личное сообщение · #22
Хо-хо! КК в очередной раз собрал по форумам десяток кусков кода прошлого тысячелетия. Щас разбавит это отходами мозга, бредом про мышей и можно продавать издательству
> не кажется патчем самой вмвари можно сделать чтобы этот способ больше не работал
А мне почему-то кажется, что ВМВарный бэкдор отключается в снапшоте парой строчек типа
isolation.tools.getVersion.disable = "TRUE"
| Сообщение посчитали полезным: |
 Ранг: 536.4 (!), 171thx Активность: 0.66↘0.13 Статус: Администратор Создатель CRACKL@B
|
Создано: 21 марта 2006 21:19 · Личное сообщение · #23
DrGolova пишет:
Хо-хо! КК в очередной раз собрал по форумам десяток кусков кода прошлого тысячелетия. Щас разбавит это отходами мозга, бредом про мышей и можно продавать издательству
...через пару месяцев самые продвинутые преподы вузов купят его книжку и будут тоже такие умные.
Хотя Крис - молодец, хоть кто-то на русском что-то более менее приличное пишет (пускай и с форумов собирает - тоже дело очень полезное), вообще такие гроши на этом писательстве поднять можно, что хотя бы за то что кто-то книги пишет уже медаль давать надо.
----- Всем не угодишь | Сообщение посчитали полезным: |
 Ранг: 251.8 (наставник), 17thx Активность: 0.12↘0 Статус: Участник Seeker
|
Создано: 23 марта 2006 06:27 · Личное сообщение · #24
Dark_Phoenix
Ты для wmf а проводнике посмотри свойства
DrGolova
Это тольео предположения, или где-то все-таки такое описано?
----- DREAMS CALL US | Сообщение посчитали полезным: |
Ранг: 160.1 (ветеран) Активность: 0.07↘0 Статус: Участник
|
Создано: 23 марта 2006 10:21 · Личное сообщение · #25
статья (ну вообще ЭТО очень сложно назвать статьей) полная лажа. Покажите мне ГДЕ в ней реально описан способ выхода из вмваре кроме создание файлов в shared folders ? Атака через сеть - смешно. Атака через определение версии вмваре - это вообще мегаЛОЛ.
| Сообщение посчитали полезным: |
 Ранг: 207.4 (наставник) Активность: 0.21↘0 Статус: Участник Jeefo Recovery
|
Создано: 23 марта 2006 10:49 · Личное сообщение · #26
То infern0 - хе, у меня была примерно такакя же реакция на это, только я её высказывать не стал......
Где-то я слышал\читал, что реально из виртуалки подняться нельзя, максимум что можно, создять вирус, котороый будет детектить что он запускается из виртуалки, и не будет в ней работать.... А из вреда, это только лишь отключение некоторых виртуальных устройств....... Это уже больше похоже на правду....... А так, слово "атака" в данной статье как то не очень уместно, если честно......
----- The blood swap.... | Сообщение посчитали полезным: |
Ранг: 60.4 (постоянный) Активность: 0.03↘0 Статус: Участник
|
Создано: 24 марта 2006 03:27 · Личное сообщение · #27
Johnson Finger, infern0. Главное идея, а не реализация. ИМХО Крис специально опускает технические подробности, чтобы мы сами учились думать!
| Сообщение посчитали полезным: |
 Ранг: 207.4 (наставник) Активность: 0.21↘0 Статус: Участник Jeefo Recovery
|
Создано: 24 марта 2006 12:26 · Личное сообщение · #28
То Vedrus - так уж специально? Или он действительно ничего не знает, но просто собрал всю необходимую инфу, что касалась этого вопроса.......
Хз, остается просто подождать, и посмотреть, появяться ли черви, способные вылезти из виртуалки на настоящую машину......
----- The blood swap.... | Сообщение посчитали полезным: |
Ранг: 160.1 (ветеран) Активность: 0.07↘0 Статус: Участник
|
Создано: 24 марта 2006 12:31 · Личное сообщение · #29
Johnson Finger пишет:
появяться ли черви, способные вылезти из виртуалки
ага. достаточно запросить версию вмвари как она тут-же скопирует тебя на хост...
| Сообщение посчитали полезным: |
Ранг: -85.4 (нарушитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 24 марта 2006 14:28 · Личное сообщение · #30
Крыс последнее время не очень интересен.
раньше писалос с душой.
а теперь как-то больше на ксакепно-коммерческий манер.
хотя кушать понятно всем охота.
ну и ессно. все имхо.
| Сообщение посчитали полезным: |