Частенько выдаёт окно (в аттаче скрин)... Кто знает что это? А то я замучался...

5a79_18.04.2006_CRACKLAB.rU.tgz - OutPostFireWall.JPG

| Сообщение посчитали полезным:

Sh[AHT] пишет:
Имя программ в студию?
RootkitRevealer
Adinf32

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Доводка технологии шла таким способом: запускаю новую версию, потом ищу в гугле имя файла троя. Попадаю на форумы где пишут каким образом его поймали и как от него избавляются. Ну и в новой версии эти дыры закрываю.

а можно хотя бы название троя (по касперу например) одного из этапов доводки, или на форум где поймали ??

-----
in search of sunrise

| Сообщение посчитали полезным:

То Ms-Rem - еще в ранних версиях Каспера (до 4.5 включительно), был Kaspersky Inspector... Отменная штука..... А на счёт невидимого троя.... Хм, ну мое мнение, от live cd это навряд ли спасет, т.к. там все операции происходят непосредственно в памяти, и отлично видно, что лежит на диске.... Хотя если вшиться в тело другой проги и запускаться от туда.... Вот тебе и идея, если не реализовал....

-----
The blood swap....

| Сообщение посчитали полезным:

c LiveCd найти можно, но только если значть что и где искать.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

То Ms-Rem - хе, во всем этом есть один существенный минус, я думаю что любой трян будет бессилен, если он попадет на уже крепко защищенную систему, т.е. я имею в виду, что есть система, на ней стоит ревизор котороый следит за системой и всеми файлами, всякие там контрольные суммы и прочее.... Закрываем глаза на антивири, т.к. сигны на трой будем думать что у них нет.... Закроем глаза на поведенческий анализатор... При некоторых условиях и его можно обойти.... Что остается, просто завеситься в системе с функциями руткита? Можно, но только до первого скана ревизором.... Он найдет на 99% 1% я оставил на "мало ли".... Хотя еще ни разу не встречал ни одной проги, которую ревизор не нашел бы.... Не знаю, есть идея помутить с потоками NTFS, может здесь что и получиться, но надежды мало..... Тем не менее, до установки твоего троя у нас есть таблица со всеми суммами файлов в системе..... Ты установился (трой т.е.), скан, и тебя вычислили, внедрился в тело проги, и тебя вычислили, CRC поменялась.... Даже грузанувшись с лайв сд и запустив это дело из памяти, и имея оригинальную таблицу, тебя можно вычислить.... Отсюда мораль, много что замыкается именно на эти таблицы, и как следствие, надо манипулировать с ними, при установке повредив их, или убив, или написав процедуру поиска в них определенного фала, в который собираемся внедряться, и исправление указанной там CRC суммы на нужную нам.....
Вот тебе ещё одна идея.....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger
ЛОЛ. Трои пишут не для того, чтобы пробить супер-пупер защищенную систему одного профи, а чтобы пробить защищенную стандартными средствами(или вообще не защищенную) систему обычных (продвинутых) юзеров, коих подавляющее большинство. Процент супер-пупер защищенных машин настолько мал, что при разработке троя ими можно просто пренебречь. А товарищи, пробивающие системы банков, склеивают коробочки в полосатой одежде...

| Сообщение посчитали полезным:

То Ara - не лол.... Просто я делал упор на более менее универсальное средство, которое не только у обычных юзеров может сидет в системе, но и у более продвинутых..... Ms-Rem делает упор на тоже самое..... Просто дофина троев, которые не могут обойти, как ты говоришь, даже "стандартную защиту", а такая защита сейчас у большинства.... У кого-то даже посильнее будет, хоть и не соображают сами нифига, пришел умный дядя и настроил им все....

-----
The blood swap....

| Сообщение посчитали полезным:

To Ara
Совершенно верно! Именно это я и говорил в предыдущих постах.

P.S. А ты часом безопасностью не занимаешься?

| Сообщение посчитали полезным:

То AngelDance - это смотря к кому вопрос, ко мне или к Ara....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
Хотя еще ни разу не встречал ни одной проги, которую ревизор не нашел бы
С ревизорами я давно разобрался.

З.Ы. вобще, для большинства ширпотреб троянов обход руткит детекторов, ревизоров и.т.д. не нужен, но я это делаю просто для интереса. К тому же, первый совет который дают на аверских форумах - это проверить программами типа AVZ, RootkitRevealer, adinf32, HijackThis и.т.д. Если обеспечить невидимость от всех методов применяемых этими программами, то вероятность нахождения такого трояна близка к нулю. Сейчас, из всех доступных методов обнаружения моего зверя мне известна только загрузка с LiveCd или установка винта на другую систему, но в ближайшем будующем и это станет черезвычайно сложной задачей.

З.З.Ы. на тему троянов можно почитать ms-rem.dot-link.net/net.html
Эта статья скоро будет на васме. Описываются там конечно только те методы которые я давным давно не использую, но они еще вполне актуальны.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

То Ms-Rem - Хм, если не секрет, то как? Если что, можешь в личку скинуть, мне просто интересно.....

-----
The blood swap....

| Сообщение посчитали полезным:

Недавно обновил базы, и после рестарта OutPost стал требовать ключь. Ввел - "Спасибо за регисрацию" и сразу же "Код не подходит!"
Хорошо что на Sam Lab http://samlab.ws новые ключи были..

| Сообщение посчитали полезным:

Какая прекрасная, скрытая и ненавящивая реклама

| Сообщение посчитали полезным:

[оффтоп]

Ms-Rem
Когда свой сайт отремонтируешь?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Johnson Finger пишет:
Хотя еще ни разу не встречал ни одной проги, которую ревизор не нашел бы
Если ревизор использует API винды для поиска файлов или проверки их CRC то никто не мешает захучить соотв. функции и сделать в них редирект на непропатченный файл или скрыть в возвращаемом значении свое тело.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Если ревизор использует API винды для поиска файлов или проверки их CRC то никто не мешает захучить соотв. функции и сделать в них редирект на непропатченный файл или скрыть в возвращаемом значении свое тело.

В том то и дело, что не использует, а читает том в RAW режиме и разбирает его вручную.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Gideon Vi, ЛОЛ. А вдруг кто-то мучается с этим.

| Сообщение посчитали полезным:

Не сочтите за оффтоп... Вот я раньше удивлялся, зачем некоторые личности тратят время на такую бесмысленную работу по скрытию своего зверька... Но вот сейчас аспект маскировки шпиона (именно такое название мне нравится)для меня очень актуален. В настоящее время актуальность и немалый доход в чёрном бизнесе приносят бот-сети, на создание которых тратится гараздо меньше времени, чем на создание бота-шпиона. Вот здесь и всплыла актуальность маскировки шпиона, т.к. после выполнения заказа (тоесть использования бот-сети) зараза по-любому попадёт на стол к аналитикам и будет подвержена к изучению. Так что следующий этап по культивированию своего зверька на просторах сети не будет таким эффективным, как в первый раз, потому что зверьку дали имя и добавили в базу, а значит и определённый % пользователей сети обновил свои базы. Самое интересное, когда наступает "мнимый тупик"... Почему мнимый и тупик? Да потому что, когда на форумах, где происходил разбор твоей зараз такие беседы перестают идти, тоесть заразу не детектят (но это не на 100% так, т.к. есть закрытые конференции, ирка, мыло, ася, где в очень узком кругу существует лечение, но ты о этом не знаешь), а сам ты уже не в силах написать защиту против своей гадости (побороть себя всегда труднее), вот тут и наступает "мнимый тупик"... Решения есть всегда, надо правильно подойти и найти решение, вот тут и начинается усовершенствование своих знаний, чтение книг, статей, журналов, форумов, ведётся поиск всяких фишек, может и известных, но забытых... Вот это самое сложное, задалбывающее, увлекающее, наверно, поэтому я ещё не забросил комп (но это уже лирика). Единственная реальная приграда - нетрадиционная защита, написанная кем-то самостоятельно для личного пользования, вот тут не очень весело (нет я не про Васю Пупкина, прочитавшего Си++ для чайников и написавшего Диспетчер процессов, я про многоуровневую защиту, написанную секьюрити экспертом, хотя не факт, что эксперты пишут супер вещи, но в общем речь о достойной защите ), т.к. нескоро можно узнать о детекте шпиона. Ещё интересно подсаживать заразу на известные honeypot'ы и в honeynet'ы, но вот только необходимо так же иметь доступ к обсуждению зараз, выловленных этими приманками, в противном случае это равносильно сдаче заразы в саппорт Так же не стоит забывать, что если есть многоуровневая защита, значит можно создавать многоуровневую заразу, например, бот-шпион с несколькими уровнями поражения, оснвой принцип максимально замаскирован, тоесть не предназначен для детекта, а выше лежащие защиты, предназначены для запутывание аналитиков (из реального примера: шпиона раскрыли через 2 месяца, хотя мнимую защиту раскрыли уже через 3 дня)..
Вот наверно и всё, я ещё раз извиняюсь, если кто здесь увидит только офтоп и чушь, но это моё ИМХО, размышления на тему маскирования программ без конкретики и пример, увы в наше время конкретики и примеров выкладывать не получается, а жаль...

| Сообщение посчитали полезным:

Ms-Rem
Сейчас, из всех доступных методов обнаружения моего зверя мне известна только загрузка с LiveCd или установка винта на другую систему, но в ближайшем будующем и это станет черезвычайно сложной задачей.
Я собсно с ЛайвСД и вычислил троя вместе с руткитом. Haxdoor - называется. А вот та хрень, которая должна руткитов ловить - его не увидела. А так сравнил системный каталог, и нашел бацилу. Ну если на ЛайвСД такая же система как и на компе, то наверное можно и ее обмануть. А если, на ЛайвСД - Линукс, а на компе -винда? А написать скрипт на шелле или прожку, чтоб проверяла все файло - думаю не проблема. А может и есть уже где-то в инете.
Как вариант-это вживление вируса в файл. Причем - системный, причем-сохранить работоспособность, причем - в секцию кода, плюс - срс неизменная.Тяжело.
Или в файл впихивать загрузчик, который будет при старте писать тело в рам. ???????????????????????
Ну это позволит скрыть файл. Но если с ЛайвСД использовать что-то наподобие Инспектора,-тогда как?
Или есть еще способы?

| Сообщение посчитали полезным:

stahh пишет:
А вот та хрень, которая должна руткитов ловить - его не увидела.
А можно узнать название "той хрени" что не увидела руткит?

| Сообщение посчитали полезным:

А вот "та хрень" называется -"Process hunter by MS-Rem"

| Сообщение посчитали полезным:

Ну так, моя тулза ищет только скрытые процессы, а их вполне может и не быть. Нормальный руткит своего процесса не имеет.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Хорошо а есть такая вещь как PE Patcher (ее я думаю все знают). И она очень отлично патчит всякие трои, вирусы. И никакой Outpost Firewall после неё точно не определит руткит, как тогда быть здесь?

| Сообщение посчитали полезным:

crazyalex пишет:
Хорошо а есть такая вещь как PE Patcher (ее я думаю все знают). И она очень отлично патчит всякие трои, вирусы. И никакой Outpost Firewall после неё точно не определит руткит, как тогда быть здесь?

Идти и вешаться , или пить йад.
А лучше начать учить чем фаерволл отличается от антивируса.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
А лучше начать учить чем фаерволл отличается от антивируса.
Я знаю чем отличаются, я имел ввиду чем в данном случае определять такие вещи.
З.Ы. Ms-Rem Вот статьи у тебя классные, а отвечаешь как не буду говорить кто.

| Сообщение посчитали полезным:

crazyalex пишет:
а отвечаешь как не буду говорить кто.
Какой впорос, такой и ответ. В общем, могу ответить подробно.

crazyalex пишет:
Хорошо а есть такая вещь как PE Patcher (ее я думаю все знают). И она очень отлично патчит всякие трои, вирусы
Если идет речь о скрытии от антивирусов, то PE Patcher поможет разве что от дерьма вроде касперского (и то сомнительно, поможет ли).

crazyalex пишет:
И никакой Outpost Firewall после неё точно не определит рутки
При чем тут оутпост? Задача оутпоста не сканировать программы по сигнарутам (AntySpyware модуль в расчет не принимать, это жалкое подобие антивируса которое в разы хуже даже касперского). Ну а от того, что ты применишь к проге PE Patcher, обходить фаерволлы она сама собой не научиться.

crazyalex пишет:
как тогда быть здесь?
1) Начать проверять систему руткит детекторами вроде RootkitRevealer (хороший руткит может и не найти).
2) Проверять систему антивирусом с LiveCd. Результат тоже не гарантирован (методы против такой проверки тоже существуют).
3) Установить Wmvare и запускать весь подозрительный софт там. Опять же не гарантирует результата, так как троян в программе может активизироваться не сразу.
4) Обзавестись прямыми руками, головой на плечах и некоторой параноей Это самый правильный вариант, дает почти 100% защиту, но иногда неприменим в виду отсутствия прямых рук или мозгов в голове.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem
вот четвертым пунктом я всегда и пользуюсь. действительно самый лучший способ ;)

| Сообщение посчитали полезным:

Ms-Rem
2) Проверять систему антивирусом с LiveCd. Результат тоже не гарантирован (методы против такой проверки тоже существуют).

Вот об этом нельзя поподробней? Хоть мысль подскажи.
Честно говоря, любой трой можно выловить, при наличии четвертого пункта, но вот проверка с другой системы меня напрягает. В принципе ей может воспользоваться любой криворукий безмозговый чайник. И как насчет проверки из другой системы(архитектуры)?

Если не на паблик, то может в личку мысль подскажешь?

| Сообщение посчитали полезным:

Ms-Rem пишет:
Если идет речь о скрытии от антивирусов, то PE Patcher поможет разве что от дерьма вроде касперского (и то сомнительно, поможет ли).
не могу не согласицца... помоему это один из немногих антивирей, который обойти не очень трудно...
а юзать ПЕ патчер и т.д. по крайней мере глупо.... каспер ужо давно палит его

| Сообщение посчитали полезным:

Файрвол, блин, офигенный, если грамотно настроить и поставить на режим обучения, то ни один троян свой лог фиг кому послать сможеть тайком, а доп. модули работаю на отлично да и рекламу в браузере хорошо блокируте!

| Сообщение посчитали полезным: