Rel, у скриптов всё же есть существенный недостаток == их как-то надо доставить на машину жертвы и установить + ничего не мешает делать белые листы и для скриптов тоже. короче, обыденный юзерь не всегда сможет запустить и "белый" скрипт, а уж на остановку левачка он даже думать об этом устанет + коменты в этих инетах от ужо прошедших сий тяжкий путь зовсим нЭдопомагають (напостят всякие недоброжелатели, мол-де плохой скрипт своровал чой-то/завалил ось/прочие пошлости да вульгарщену)
Rel, chmod +x ./script.sh да, и не из всякой директории можно запустить даже sh -c ./script.sh (в зависимости от настроек). конечно, можно поизощряться чрез cat ./script|sh но такое не всегда сработает, нужно ужо типо такого cat ./script|sed -e $cmd|sh. с тем же питоном, там совсем грустно == не все зависимости могут оказаться на машине жертвы.
как бы про венду разговор был... 99% того, что нужно малвари, уже есть в стандартной библиотеке, начиная с питона 2.6... остальное при желании можно таскать в скрипте... можно даже сдропнуть so-шник и подгрузить его через ctypes...
в вынь тоже можно запретить прямой запуск скриптов, тч считай их придётся устанавливать. много раз встречал ситуацию, когда пЕтончик с первого пенделя не пашет и приходится ковыряться со всем сим безобразием да чрез pip не всегда нормально модули удаётся подгрузить приходится их ставить по-всякому + бывают конфликты зависимостей. ваще, в лине и белую софтину поставить.. может в такое безобразие укатывать, а с малварей == тамо нужно целый супорт открывать с бесплатной горячей линией. ЗДРАВСТВУЙТЕ, НАША МАЛВАРЯ, ТО ЕСТЬ ОЧЕНЬ НУЖНЫЙ СОФТ, КОСО ВСТАЛА В ВАШУ СИСТЕМУ. ПОЖАЛУЙСТА, ОТРЕДАКТИРУЙТЕ НАСТРОЙКИ СУДО ИЛЬ ОТКРОЙТЕ НАМ РЕМОУТ ДОСТУП
я тут привел ссылку, там порядка 60 различных венды, которые нужно будет блокировать... когда имеешь прямые руки, с питоном мало проблем возникает...
а что их блокировать? движок модифицируется == прежде, чем скрипт запускается, его сверяют на валидность. к примеру, хэш сумма + размер файла и, если ничего подобного в белом списке нет, ноу-гоу как-то пересёкся с одним челом и он мне изрёк сакраментальную фразу: ПРОГИ НАДО ПИСАТЬ БЕЗ БАГОВ. конечно, надо (кто же спорит?). на деле же питон так хорош для малвари, что им толком и не пользуются.
админы не станут себе перекручивать яйки запрещая VBScript/Powershell, которым они сами пользуются для администрации сети во-первых... во-вторых, даже если они заблочены, то это всего 2 процесса из 60, которые потенциально можно использовать для запуска кода... заблочил InstallUtil, получил невозможность удаленно устанавливать .NET сервисы юзерам... заблочил regasm, пользователь не может установить ни один COM-объект на систему... заблочил MSBuild, внезапно у всех программистов в сети пропала возможность собирать код... заблочил wmic, никакие wmi-скрипты от пользователя больше не работают... ну и тд... --- Сообщение объединено, 18 апр 2019 --- пользуются гораздо больше, чем ты думаешь... даже в ред-тименге есть https://github.com/EmpireProject/EmPyre - которую постоянно юзают с линуксами и маками...
и что с того? я хотел бы увидеть успешный скриптовый вирус.. впрочем, был такой ILOVEYOU.txt.vbs но дело было давно и такое уже не тащит всё решаемо, просто решать надо
Потому что m$. Понятное дело что есть уязвимые драйверы и парочка 0-day в привате, но это не считается, у рядового малварщика, коих большинство, нет ни того ни другого.
У винды прикол есть, на некоторых версиях нет полного набора корневых сертификатов, по-моему 2011 года, и часть подписанных легитимных драйверов не встает. Что касается ядра, на мой взгляд отсутствие информации это следствие недоверия паблику. Появились буткиты в паблике, привело к тому, что всякое дно стали на них запускать, локеры всякие. Ни один здравомыслящий человек, знающий как добраться до ядра, не выложит маргиналам такую информацию, да еще и бесплатно. По-мимо этого никуда не подевалось направление ресерча прошивок различных устройств, все эти ring -1 и ring -2. У материнок полноценная ОС встроена судя по крутости интерфейсов firmware, в SSD многоядерные процессоры в контроллерах со сложным ПО, настоящие аппаратные визоры типа Intel AMT и прочее. И все это без какой-либо защиты от малвары. Считаю здесь самое интересное. Развитие продолжается, все это только будет усложняться. --- Сообщение объединено, 28 апр 2019 --- Мнение Криса Касперски из логов:
