вот
очень поучительная статья



eb7b_VMWare.rar.zip

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
Очень интересно
Можно ссылочку на оригинал? (Картинки хочу и закинуть в CHM)

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=
пока это есть только на диске хакер.
ссылки на оригинал нет.
там картинок на 2 метра, и ни одной по теме.
аниме всякое, а я на диал-апе.

-----
in search of sunrise

| Сообщение посчитали полезным:

=TS= пишет:
Очень интересно
Можно ссылочку на оригинал? (Картинки хочу и закинуть в CHM)
Я ее какраз читаю. Завтра закину оригинал с картинками.

| Сообщение посчитали полезным:

Вот ведь крис маньяк, придётся мне теперь второй комп покупать

"на машинный код — в bmp, jmp и wmf файлах. "
по моему, у автора в голове каша из ассемблера и всего остального - нельзя так долго за компом сидеть

PS. Эх плохой пример подаю, но не удержался пофлудить.

-----
Всем не угодишь

| Сообщение посчитали полезным:

КГ/АМ статья, выше хакера не тянет.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Bad_guy
Ну насчет Wmf --- я самолично видел, как wmf (картинка, а не exe с таким расширением!) после запуска на просмотр тянул с инета файлы...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=
Не спорю, просто я никогда не видел jmp файлов.

-----
Всем не угодишь

| Сообщение посчитали полезным:

а, ты об этом

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Хм, забавная статейка......
Вообще, проблемы безопасности виртуальных машин уже давно рассматривались, поэтому выход нечто подобного ожидалось......
В некоторых статьях до этого детект вирт. машины происходил просто поиском определенных ключей в реестре (когда вы ставили vmware например)......
А вообще, просто ставьте ShadowUser например, и никакого гимора не будет.... Или его вероятность упадет практически на нет.....
То Bad_guy - имелось в виду jpeg файлы..... Это ещё одна уязвимость винды в обработке этих файлов...... У меня даже где-то валялись такие "зараженные" картинки, на которые просто наводишь курсор, и проводник просто падал..... Хотя есть вероятность исполнения некоторого кода, например, запуск ЕХЕ-шника
А так, мне кажется, что с подобным мы вряд-ли столкнемся, чтобы писали червей специально под вирт машины...... Могут только такую функцию просто так включить в червя, и все равно, большого распространения это не получит, т.к. если и получит, то разработчик быстро полатает все дыры.....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger
ИМХО гемор будет если например низкоуровневое форматирование винта произойдет. по идее от этого шадов юзер не спасет....

| Сообщение посчитали полезным:

Johnson Finger пишет:
У меня даже где-то валялись такие "зараженные" картинки, на которые просто наводишь курсор, и проводник просто падал.....
можете показать ? ну не видел я еще ни одного зараженного jpg или wmf файла.
нигде найти не могу.(((

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
можете показать ? ну не видел я еще ни одного зараженного jpg или wmf файла.

Держи, .jpg в архиве, пароль 'bsi-jpg'. Только Windows Explorer действительно падает На .wmf вот ссылка, он калькулятор должен запускать:

c't-Browsercheck http://www.heise.de/security/dienste/browsercheck/demos/ie/wmfexp3.php


79fb_bsi_jpg_test.zip.zip

| Сообщение посчитали полезным:

Мне не страшно. Все вири тестирую у одного знакомого юзера, чей комп, несмотря на все мои усилия вылетает из-за троянов, червей, эксплойтов и прочей живности с периодичностью раз в месяц. Согласитесь в таком зоопарке и вирь протестить (перед format c не грех. Еще чего тока не приходит по мылу. У меня теперь даже появилось хобби, разбирать на запчасти черви и трояны что приходят по почте. Вот недавно отловил экземплярчик: я раньше никогда не видел, что бы в письме присылали ярлык .pif к досовской программе да еще и размером в 12 кило. тов. Касперский a.k.a. антивирус его смог распознать тока после смены расширения. назывался главное readme.pif
Жалко только я его случайно вытер при чистке мыльника (( - все спам виноват
А вообще насколько я понял винда может запускать пифы, как экзешники, но к ним никогда не бывает контекстного меню типа "проверить на вирусы". Этим и пользуются.
Огромная просьба Bad_Guy'у: а нельзя отвести хотя бы пару метров для вирей и их конструкторов в разделе скачать. Материалом могу поделиться.

| Сообщение посчитали полезным:

Dark_Phoenix пишет:
а нельзя отвести хотя бы пару метров для вирей и их конструкторов в разделе скачать.
я считаю что вирмэкерство не имеет отношения к крэкингу

-----
Всем не угодишь

| Сообщение посчитали полезным:

Ок.
ЗЫ: Вот кстати я вовремя вспомнил про пифный вирек - 5 минут назад пришла еще одна копия, только под другим именем.
В тексте письма:
DAЗADAOIUЕ OEIEЬIEЦU, писа_щие девуoки, анальная мастуdбация,
dука в анусе и все известные половые извdащения.
Iиса_щие девуoки dазвdатные oкольницы...
Kvassay
а вот и 12 килобайтный аттач: пароль на архив qwerty.
И не выпускайте на вский пожарный эту чтучку на комп - все не было возможности в нем как следет разобраться. Хрен знает что за тварь такая.
Держи, .jpg в архиве, пароль 'bsi-jpg'. Только Windows Explorer действительно падает На .wmf вот ссылка, он калькулятор должен запускать:
странно. Ни первое ни второе у меня не заработало...
77f6_view.link.index.image.txtV23.sexHdg21.rar.zip

| Сообщение посчитали полезным:

Недавно еще и во флеше дырку нашли
А насчет Jpeg GDI+ owerflow так ему уже полтора года стукнуло и SP2 он не пробивает

| Сообщение посчитали полезным:

господа
давайте по поводу вирей перейдем на ру-борд
_http://forum.ru-board.com/topic.cgi?forum=55&topic=1363#1
а то тут насколько я понял это не приветствуется
интересует обмен

-----
in search of sunrise

| Сообщение посчитали полезным:

mov ecx, 0Ah ; get_version
mov eax, 564d5868h; 'VMXh' ; magic
mov dx, 5658h; 'VX' ; magic

in eax, dx ; specially processed io cmd
; output: EAX/EBX/ECX = data
cmp ebx, 'VMXh' ;
je under_VMware ;under_VMware
xor eax,eax
ret
under_VMware:
ret

мне кажется патчем самой вмвари можно сделать чтобы этот способ больше не работал

| Сообщение посчитали полезным:

Кстати не кто не знает, существует ли патч для VMware под винду? У Криса ссылка только для линуха

| Сообщение посчитали полезным:

Ну вроде бы это должно быть по теме.
Определение VM www.offensivecomputing.net/files/active/0/vm.pdf

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Хо-хо! КК в очередной раз собрал по форумам десяток кусков кода прошлого тысячелетия. Щас разбавит это отходами мозга, бредом про мышей и можно продавать издательству

> не кажется патчем самой вмвари можно сделать чтобы этот способ больше не работал

А мне почему-то кажется, что ВМВарный бэкдор отключается в снапшоте парой строчек типа
isolation.tools.getVersion.disable = "TRUE"

| Сообщение посчитали полезным:

DrGolova пишет:
Хо-хо! КК в очередной раз собрал по форумам десяток кусков кода прошлого тысячелетия. Щас разбавит это отходами мозга, бредом про мышей и можно продавать издательству
...через пару месяцев самые продвинутые преподы вузов купят его книжку и будут тоже такие умные.

Хотя Крис - молодец, хоть кто-то на русском что-то более менее приличное пишет (пускай и с форумов собирает - тоже дело очень полезное), вообще такие гроши на этом писательстве поднять можно, что хотя бы за то что кто-то книги пишет уже медаль давать надо.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Dark_Phoenix
Ты для wmf а проводнике посмотри свойства

DrGolova
Это тольео предположения, или где-то все-таки такое описано?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

статья (ну вообще ЭТО очень сложно назвать статьей) полная лажа. Покажите мне ГДЕ в ней реально описан способ выхода из вмваре кроме создание файлов в shared folders ? Атака через сеть - смешно. Атака через определение версии вмваре - это вообще мегаЛОЛ.

| Сообщение посчитали полезным:

То infern0 - хе, у меня была примерно такакя же реакция на это, только я её высказывать не стал......
Где-то я слышал\читал, что реально из виртуалки подняться нельзя, максимум что можно, создять вирус, котороый будет детектить что он запускается из виртуалки, и не будет в ней работать.... А из вреда, это только лишь отключение некоторых виртуальных устройств....... Это уже больше похоже на правду....... А так, слово "атака" в данной статье как то не очень уместно, если честно......

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger, infern0. Главное идея, а не реализация. ИМХО Крис специально опускает технические подробности, чтобы мы сами учились думать!

| Сообщение посчитали полезным:

То Vedrus - так уж специально? Или он действительно ничего не знает, но просто собрал всю необходимую инфу, что касалась этого вопроса.......
Хз, остается просто подождать, и посмотреть, появяться ли черви, способные вылезти из виртуалки на настоящую машину......

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
появяться ли черви, способные вылезти из виртуалки
ага. достаточно запросить версию вмвари как она тут-же скопирует тебя на хост...

| Сообщение посчитали полезным:

Крыс последнее время не очень интересен.
раньше писалос с душой.
а теперь как-то больше на ксакепно-коммерческий манер.
хотя кушать понятно всем охота.
ну и ессно. все имхо.

| Сообщение посчитали полезным: