# кто курил рустока?

UbIvItS
гы надо пресс-релизы читать
это про http://antimalware.ru? фиг знает, ты невнимательно
читал он там говорил про другие новые руткиты.
а это вирус, паразитирующий на системых дровах ms.

ага а ещё у нас медведи по лестницам ходят и ген.директор на самокате катается =)
1.5-3k это в рублях? =)
все зависит от размера конторы и твоей должности и возможностей

 

gfgfgfgf
> Крис с таким описанием как в твоем последнем посте
> ты ещё оччччень долго будешь это хачить. 21 век на дворе.
а я никуда и не тороплюсь.
просто уже давно хотел реализовать старую задумку: эмуляция kernel-land в IDA, но как-то не было повода и не было достойного рут-кита, чтобы на нем ее обкатать. а так сейчас у меня все очень даже рульно. конкретно сейчас пишу эмулятор Kernel Processor Control Region'а, чтобы русток по FS читал валидный struct _KIDTENTRY *IDT, который тоже проэмулировать надо. и хотя эмуляция наполвину сделана на соплях, а на оставшуюся половину просто перекидывается память "живого" ядра, но там фишка в том, что вместо того, чтобы сразу эмулировать кучу команд в эмуляторе предусмотрен интерактивный вопрос: типа что данная инструкция делает?! и можно либо вбить скрипт, либо вручную задать какие регистры/память/флаги изменились, ну и т.д...

в общем, лучше за пол-года долететь, чем за пол-часа добежать. зато когда я допишу свой эмуль kernel-land'а можно будет очень круто дебажить разные драйвера

p.s. если не секрет, а каким образом ты его распаковал? просто скажи: с запуском на живой машине или "руками"? то есть подпустил к себе на тачку рустока или не подпустил?

 

помнится Касперский на самокате катался, сталобыть вы из Каспер лаб

 

удачи
будет опенсурс?

мы сконтактировали с ребятами в ms, и они дали
нам попользоватся их внутренним эмулятором
seye кажись называется =) после него осталось
только частично реконструировать код
А дальше ясно было. Сейчас вот эти распакованные
зверушки бегают веселят нас и на вмварках и на
обычных машинках Хотелось бы ещё дроппер раздобыть
для полноты картины

SYMC.

 

gfgfgfgf SEye - это если не ошибаюсь поделка небезызвестного EP_XOFF'a)))

 

blood_raven
дык, это ни для кого не секрет:
http://www.antirootkit.com/blog/2007/12/23/ep_x0ff-and-rootkit-unhooker-off-to-microsoft/
gfgfgfgf


gfgfgfgf
> внутренним эмулятором seye
а я по глупости своей думал, что seye просто виртуализатор... ладно, надо будет на борще испытать....

> удачи будет опенсурс?
сложно сказать. я не один в проекте. его как и seye заинтересованы купить и даже начинать вкладывать деньги, когда будет минимально работающий макет, но продавать его если и буду, то только на условиях, чтобы им мог пользоваться кто угодно. ну исходные тексты, конечно, сами собой разумеются. а как еще плагины под иду распростанять? но вообще-то, по уровню это будет лишь чуть-чуть выше чем известный x86emu, т.к. я эмулирую еще и структуры ядра, не все конечно, но достаточно многие. хочется добиться, чтобы на нем можно было отлаживать руткиты.

а про распаковку. ну там еще такая фишка уже практически на 90% реализована.
*) колоризуется трасса прохода, чисто там для визуальщины, чтобы мы видели, где мы начали циклиться, проходя по одному месту несколько раз
*) заточет трассер инструкций общего назначения x86, который видит условные переходы, как явные, так и скрытые (ну например, jmp reg, ret, etc) и ставит на них бряки. после чего пускает на выполнение. распаковщик не может никуда вырваться... и момент завершения распаковки определяется по бряку. если бряк скрытый (типа jmp reg) то он снимается если мы на этом месте были больше двух раз. бряк ес-но на target, не на сам jmp
*) сразу показываются ячейки памяти, которые распаковщик модифицирует ,чтобы отличить где просто полиморфный мусор, а где реальный распаковщк
*) совершенно недоделанный модуль, но - пытаюсь сделаь гибрид с gcc, чтобы тот гнал инструкции на графы, удалял мусор, неиспользумые результаты вычислений, ну и вообще выбивал пух
*) чтобы точно распаковщик не вырвался - трассе команд, по которым мы проходим в цикле дается атрибут исполняемых, остальная память - неисполняемая. поскольку это эмуль, поддержка бита исполняемости со стороны ЦП не требуется.
*) ну и куча других фенечек... даже если критора нет, а просто дикий обфускатор, то строим трассу выполнения, прогоняем ее через gcc, после чего получаем некоторый псевдокод, транслируемый назад в псевдо-ассемблер.

код пишу не один, так что в настоящий момент предоставить не могу ;( спрошу остальных участников типа. если они не против - можно будет выложить

 

gfgfgfgf

очень уж любопытно куда они уцепится могут) - это весьма сильная заява

 

UbIvItS вероятно это про BiosKit.

 

Всё на много проще, какое количество народа пользуются OSями полученными от произодителя ? =)))))

 

BTF в помощь.

 

Ценность Иисуса Христа для народа немного ниже плинтуса ...

 

im1111
цеплятся к биосу, мягко говоря, палевый вариант) никто не отменял хэш сумму биоса, к тому же, на разных материнках вопрос прошивки может решаться по -разному.

 

UbIvItS все это так, поэтому в широком использовании подобное не наблюдается, но факт существования хотябы образцов нельзя отрицать

 

im1111

в качестве коллекций для себя или для статьи - да. а в принцепи никаких новых, прогрессивных техник для руткитосов и других зверюшек невозможно. вся эта история попрёт для аверских сайтов, дабы паства в испуге обновляла лиц-ию))

 

IceStudent
> BTF в помощь.
ты що! эмулировать BTF я не собираюсь, тем более что он брякается на всех ветвлениях, а мне нужно только условные ветвления, причем реально условные, а не псевдо-условные по типу stc/jb xx

 

Rustock.C aka Ntldrbot - Small Advisory

 

Интересно, он такой крутой, что если даже загрузиться с CD, то его все равно не видно? Или он парализует волю, так что CD выпадает из пальцев и не суется в щель? Или его гипнотизеры написали?

НЕ ВЕРЮ! Пиар, пиар и еще раз пиар. На лету создается миф, который выгоден и VX-ерам, и некоторым AV-ерам. (Вирусмейкеры: ах, какие мы крутые, что даже тупые аверы нас 1.5 года не замечали. Данилов: ах, какой я крутой, что другие тупые аверы 1.5 года не замечали, а я заметил.)

А эти "1.5 года" уже в энциклопедии вставляют. Тьфу!

 

iamlamer

Ты подтверждаешь свой никнейм

 

Спасибо, ты открыл мне глаза. А я и не знал.
Только от этого знания чудеса все равно не начнут происходить. И если ты в них веришь... хы-хы...

 

sww_

на самом деле человек задал тебе вполне конкретный вопрос: коли это чудо цепляется к дровам винды - достачно сверить хэш суммы для каждого файла, а загрузка с cd довольно эффективный способ присечь активность зверюшки))))))