# бесплатное мыло на your_name#re-lab.org

kaspersky

15минут - это вы про кого? Про детектор jabascript Ваш? От результата работы вашего скрипта зависят работы других людей? (как в случае анпакера) Нет? Так о чем были все эти "с вами не о чем разговаривать" и "только я разрабатывал и поддерживал Большие проекты"?

Малварь - это что-то особенное в плане реверсенга? Оценки мои вот на чем: я знаю что хорошую обфускацию для модуля хотя бы 50к (если обфускатор новый) разобрать за пару часов нельзя. Даже за пару дней нельзя. Оценка ~1нед на ~500k (обфускатор один).

Да, можно (если удачно выбрал первый ход) найти там какое-то одно небольшое место, наверное типа encrypted URL в айсе. Но если полиморфег шифрует хост а алгос внутри морфленного тела? Что мы скажем юзверу который якобы:

Что "пока мы можем детектировать 95% сэмплов - осторожнее, не запускайте много программ а то нарветесь на вирь" - ? Впрочем, как вы нам сказали, iDef оказалось слишком круто для автора многочисленных книг по реверсенгу. Вот я и дивлюсь что же там за марсиане работают. Никогда не слышал про индусов-хакеров, вы сами вроде пытались еще народа из рунета нанять.

Если вы за три часа про сигнатуру говорите - так в это я верю. Но вы тут говорили что есть некие суперпродукты от McAfee которые экслюзивные и ОООчень дорогие решения (на вирустотале барахло стало быть - мнение кастомеров посылающих сэмплы туда таких крутанов интересует мало). Предположим словил ваш кастомер кейлоггер. А он, сука, накрыт пакером! Если это не был школьнег, то вряд ли это будет aspack или типа того. Захотел было дамп снять а эта дрянь где-то в кишках НЕ hll прочекала виртуаль или mcafee.sys и не запустилась!... Ёптель, уже 5 часов пролетело а я так и ничего...

А, это вы про аналис семейства VB.Даун.666? Вообще-то реально кульные вирусы пиплы разрабатывают месяцами и опыт у них, (конечно!) гораздо меньший чем у вашего мудрого индуса (который наверняка и есть манагер и реальный вирь в глаза не видел а все больше по вбрасыванию суперидей, неа?), но поверить что ваши марсиане из iDef могут сделать что-то реальное за три часа - НЕ ВЕРЮ.

Cool. То есть была там типа майкрософта контора и не было у нее НИЧЕГО по поводу антивируса - ни сэмплов ни двжков - а тут вы такой пришли и сразу в одиночку все спроектировали, сами кастомеров себе нашли - сначала вы конечно не использовали имя конторы, сами 7/24 на телефоне висите если че не так... ЭТО НЕ свой бизнес. И ваш проект (повторяюсь) - как отросток, он ничем не питает проекты других. Просто алгос или несколько.

~ 10*60 / 50*10^3 ~ 0.01 секунд на сэмпл (только Вашим сканером). Тут, на васме, как бы не совсем дауны и понимают что там еще наверное есть кучка других детекций, индуса умного наверное пара наверняка ... вот и набегает. А вообще-то о чем гордость? Помню, алгос старого LotusNotes брутилсо на 1800ГГц примерно за 0,5мкс/вариант. За ваши 0.01 это десятки тысяч вариантов. Учитывая что размер скрипта (впрочем, я не знаток) небольшой, пусть 500байт, вы тратите 20мкс на символ скрипта - за то же время я успею прогнать алгоритм проверки Лотуса 40 раз.

...Зато разрабатывать наверное удобно, yeah?

Верно, потому как очень дорогой софт AV пишецца старым добрым способом - дядю Женю/МкКафи/etc - "осенило". Дать определение малвари вы стало быть не можете а детектите вы уникальные куски (сигны), и если я нарисую софт с таким же фрагменом - FP. Так что мой тезис о "честном отъеме" денег на AV вполне себе, потому как позади "немца" BMW или хотя бы тойот из Кетая стоит реальная Наука а позади AV - безсистемный набор знаний без взгляда в будущее.

 

TermoSINteZ
PSR1257 путает IT разработку с розничной реализацией.
он считает, что за всё маркетинговое де*мо толкаемое продавцами, должны отвечать разработчики)

 

TermoSINteZ

Если не ошибаюсь, вы счас примерно там же где и Крис. У вас probation period уже закончился? А training прошли и вас взяли в iDef? Или вы еще не в теме?

Что соотношение цена-качество AV крайне низкое. Примерно за тем же зачем была написана книга Age of Propaganda: The Everyday Use and Abuse of Persuation. Свободное исследование.

Чё внатуре? Прямо таки не пользуют совковые наработки - а сами делают?

Позвольте применить Ваш аргумент против Вас: вам не нравяцца мои посты в принципе - не трогайте. Али я оскорбил кого?

 

wsd

Вы не правы. Если я и что говорю Крису - так это так как он занял позицию в споре на стороне AV. Иногда он защищает AV индустрию аппелируя к гопнической массе хакеров, иногда - например про массовые FP - он сразу же "я вообще только в этом проекте а с этими я только на StandupMeeting'е иногда пересекаюсь".

 

PSR1257

эта сторона составляет 99.9% населения земли. он же не мечет то маркетинговое де*мо что продавцы, а даёт реальные цифры и факты.
если Вы считаете что способны сделать значительно лучший продукт, чем аналоги - делайте. что мешает? место гуд продукту всегда найдётся.
а в плане розничной торговли расклад такой - чтобы выжить и развиваться нужно метать ахинеи на порядок больше конкурента)))
иначе провал и пойдёте вагоны разгружать..

 

PSR1257
> 15минут - это вы про кого?
вы про себя выше писали, что за 15 минут написали для банка чего-то.

>> каждый день реверсите малварь с утра до вечера? если нет, то -- откуда оценка?
> Малварь - это что-то особенное в плане реверсенга?
это очень узкоспециализированное направление со своими целями, задачами, методами их решения.

> Оценки мои вот на чем: я знаю что хорошую обфускацию для модуля хотя бы 50к
> (если обфускатор новый) разобрать за пару часов нельзя. Даже за пару дней нельзя.
> Оценка ~1нед на ~500k (обфускатор один).
то есть чтобы отличить обсфуцированный пасьянс от тетриса вам потребуется как минимум неделя? надо же моя кошка и то быстрее разберется.

с чего вы взяли, что там будет обфускация да еще и новая? причем обфускация не только exe, но и противоборство монитором реестра и файловой системы? а если сравнивается образ фс до и после запуска? как руткит может противодействовать сравнению двух дисковых образов извне "коробки"?

и вообще, кончайте строить предположения. если хотите знать реальную малварь и методы ее анализа -- идите работать в антивирусную индустрию.

> Но если полиморфег шифрует хост а алгос внутри морфленного тела?
> Что мы скажем юзверу который якобы:
вы не в том направлении копаете. если там C&C, то алгос нам вообще пофиг, а если там З2З, то даже полностью расковыряв алгос нам это ничего не даст (в общем случае). так же малварь может просто слушать порт в который никто никтогда и ничего не пошлет,т.к. не знает наш IP, а чтобы он его узнал, нам нужен не exe, нам нужно чтобы нас атаковали по тому же сценарию, что и кастомера, вот только нас в отличии от кастомера атаковать никто не будет, ибо нафиг мы кому нужны.

вы об этих проблемах подумайте. они носят фундаментальный характер. или вот о том, что сначала ссылка на hxxp://xxx.yyy.zzz/index.php подкидывает нам сплоит, а буквально через несколько минут там уже лежит хороший и все выглядит чики-пыки. или сервер возвращает контент в зависимости от контента и получается так, что плохой контент достается только жертве, а все остальные видят честный файл.

> Что "пока мы можем детектировать 95% сэмплов - осторожнее,
> не запускайте много программ а то нарветесь на вирь" - ?
вы сами себе противоречите. если кастомер прислал сэмпл, то, значит, он его каким-то образом задетектил. и теперь ему интересно знать, что же он творит с системой.

> Впрочем, как вы нам сказали, iDef оказалось слишком
> круто для автора многочисленных книг по реверсенгу.
пока мыщъх писал книги, они занимались реверсингом, приобретая опыт реверсинга, а я -- написания книг

> Вот я и дивлюсь что же там за марсиане работают.
ну зайдите к ним и посмотрите.

> Если вы за три часа про сигнатуру говорите - так в это я верю.
ну вы и балда. вот как раз чтобы выделить сигнатуру...

> Но вы тут говорили что есть некие суперпродукты от McAfee
> которые экслюзивные и ОООчень дорогие решения
они не суперпродукты. и для наших кастомеров они совсем недорогие.

> (на вирустотале барахло стало быть
в который раз пытаюсь объяснить, что мы пишем IPS. файловый сканер к нему не прикручен. если нужно проверить файл, его нужно предварительно залить на какой-нидь сервер, потом включить сниффак и сливать. и нафиг так извращаться, а? или вы не понимаете как работает IPS и чем он от файлового сканера отличается? или вы файеролом файлы сканируете?

> мнение кастомеров посылающих сэмплы туда таких крутанов интересует мало).
вы точно балда. все знают, что VT щедро делиться всеми залитыми сэмплами. а вот нам кастомеры сплошь и рядом засылают сэмплы под NDA. ну вот скажем вы в банке работате. навярняка у вас есть куча документов с разными грифами в электронном виде. слушайте, сделайте доброе дело -- залейте их на вирус тотал, а? а я потом их в иннет выложу на всеообщее обозрение.

> Предположим словил ваш кастомер кейлоггер.
> А он, сука, накрыт пакером! Если это не был школьнег,
вы не знаете как обнаружить в системе кейлоггер? нууу.... тяжелый случай.

>> вы не поверите, но там не просто HLL, там ENG
> А, это вы про аналис семейства VB.Даун.666?
я вообще-то про реальную жизнь. а вот у вас представления о малвари чисто мистические.

> Вообще-то реально кульные вирусы пиплы разрабатывают месяцами
примеры этих реально кульных. только не один-два-три, а хотя бы пару сотен, причем не за весь исторический период, а за последний сезон.

> но поверить что ваши марсиане из iDef могут сделать что-то реальное за три часа - НЕ ВЕРЮ.
и что это меняет. верю/не верю. как дите малое. вы их кастомер? вы их сотрудник? ну вот я рассматривал iDef в качестве потенциального места работы (благо что их офис на соседнем хуторе). но как узнал условия работы -- сказал: "спасибо не надо". так что это не вопрос веры.

кстати, я тоже задал им вопрос -- что можно сделать за три часа. и они только грусто улыбнулись. ну это они ладно. я вот тоже анализирую (хотя и не exe). и даже трех часов у меня зачастую нет.

>> он уже год как поставляется на рынки разных стран
> Cool. То есть была там типа майкрософта контора
> и не было у нее НИЧЕГО по поводу антивируса
> ни сэмплов ни двжков - а тут вы такой пришли
> и сразу в одиночку все спроектировали,
а причем тут майкрософт? кстати, год не такой уж маленький срок. тем более, что опыт работы у меня был. были идеи и было понимание что нужно делать и куда двигаться. и был очень большой оптимизм, что за мы сейчас... а де-факто от идеи до модели (минимально работающей) ушел год. и уже год как эта модель поставляется.

> сами кастомеров себе нашли
я так не говорил. поиск кастомеров в мою задачу не входит. в мою задачу входит объяснить им почему они должны покупать наш продукт, а не ваш. а поскольку продукт стоит немножко дороже колбасы с виагрой, то кастомер очень скептически настроен и потому абстрактными сфероконями его не догонишь.

> сначала вы конечно не использовали имя конторы,
> сами 7/24 на телефоне висите если че не так...
> ЭТО НЕ свой бизнес. И ваш проект (повторяюсь)
да, у меня нет долевого участия. и бизнесом я не занимаюсь (а должен?). на мне техническая часть. встречи с кастомерами (вот щас лечу в израиль, кстати, лечу по своей инициатие и за свой счет) провожу потому что они технари и я технарь. и нам так проще понять друг друга. и я тут же могу ответить на все вопросы по ходу беседы, а манагеры ес-но не могут. и с учетом того, что на эту встречу (как и на многие другие) лечу за свой счет, то так ли это уж не мой бизнес? а чей тогда? компании? вы сами сказали, что для нее он как отросток.

> как отросток, он ничем не питает проекты других. Просто алгос или несколько.
двигатель в самолете -- это отросток. даже если их несколько. кстати, алгос и его реализация -- это как бы две разные вещи.

>> 57,955 файлов (pdf) просканировались на ноуте за десяток минут.
> ~ 10*60 / 50*10^3 ~ 0.01 секунд на сэмпл (только Вашим сканером).
выходит, что так. т.е. 10ms. что согласуется с цифрами приведенными ранее. что-то не так?

> Тут, на васме, как бы не совсем дауны и понимают
> что там еще наверное есть кучка других детекций,
кучи нет. еще есть FLIPS. но очень очень быстрый. и две детекции на двух ядрах работают в параллель. загрузца ЦП составила 44%, т.к. я юзал только одно ядро. и как уже писал выше изначально все это писалось, чтобы проверять гиговый трафик в релатайме. т.е. скорость проверки гарантированно не хуже 100 Mb/s. это уже правда не на ноуте.

> А вообще-то о чем гордость?
это не вопрос гордости. это ТЗ такое. и я просто сказал, что даже если юзать JS, в него можно уложиться. а писать на асме -- вы будете сами.

> Помню, алгос старого LotusNotes брутилсо на 1800ГГц примерно за 0,5мкс/вариант.
> За ваши 0.01 это десятки тысяч вариантов. Учитывая что размер скрипта
я не пишу брутфорсер. что-то вы совсем не туда ушли.

> (впрочем, я не знаток) небольшой, пусть 500байт, вы тратите 20мкс
> на символ скрипта - за то же время я успею прогнать алгоритм проверки Лотуса 40 раз.
и что?

> Верно, потому как очень дорогой софт AV пишецца старым добрым
> способом - дядю Женю/МкКафи/etc - "осенило". Дать определение
> малвари вы стало быть не можете а детектите вы уникальные куски (сигны),
отуда вы знаете что я детекчу? вот ближайший конкурент работает так:
http://media.blackhat.com/bh-us-10/presentations/Wicherski/BlackHat-USA-2010-Wicherski-dirtbox-x86-windows-emulator-slides.pdf

я главным образом отличаюсь лишь тем, что не использую эмуляцию. где вы там нашли сигнатуры?

> и если я нарисую софт с таким же фрагменом - FP.
> Так что мой тезис о "честном отъеме" денег на AV вполне себе,
> потому как позади "немца" BMW или хотя бы тойот из Кетая стоит
> реальная Наука а позади AV - безсистемный набор знаний без взгляда в будущее.
мой шеф, который нейропроцессоры разрабатывал раньше, говорит примерно тоже самое, что в AV (ибо индустрия молодая) нет никакой системы. но сколько выпускаются машины, а сколько -- антивиурсы?

ладно, завязываем. вам все равно сказать нечего по существу (не говоря что мы вообще скатились в оффтопик). вот я вижу недостатки существующих решений и для меня -- это возможность попытаться предложить что-то свое. если мои решения выдержат проверку временем и окажутся конкурентоспособными -- хорошо. если нет -- значит, я был неправ и заблуждался.

ну а что можете предложить вы кроме идеии реверсить каждый сэмп от недели и больше? а если вы открываете почту, а там архив в пару десятков файлов? а у вас еще со вчера работа недоделанная осталась? и ведь завтра будет не лучше...

 

То, что десктопные антивирусы - тормозное и глючное безобразие - отнюдь не секрет. Но то, что вы предлагаете отказаться от них совсем - это гораздо более неумно. Потому что если вы вспомните историю появления малвари, то должны знать каких масштабов были эпидемии, а именно практически стопроцентного покрытия.

Антивирусы, как и вирусы, способны нанести вред компьютеру в равной степени, причем иногда так и происходит, но по крайней мере за работой антивирусов следят производящие их компании, которые еще и можно призвать к ответственности, а попробуйте призвать к ответу малварщиков. Что вы вообще предлагаете взамен антивирусов? Строить хитровумные защиты самому? Даже не рассуждая об их эффективности в сравнении с антивирусами, много ли людей вообще на это способны? Большинству пользователей неохота даже разбираться где у них в системе интернет включается, а антивирусы сдерживают эпидемии довольно успешно, и по-крайней мере защищают от уже известной заразы без каких-либо затрат мозга со стороны овоща, сидящего напротив монитора.

Зачем вообще останавливаться на самостоятельной защите компьютера? Вместо вызова специалиста на дом, почему самим не ремонтировать сантехнику, а еще лучше выплавлять во дворе хитровумные трубы для нее? x86-совместимые процессоры тянут в своей архитектуре много недостатков и отнюдь не заточены под конкретные задачи конкретного пользователя - давайте сами в сарае производить каждому по потребностям?

 

PSR1257
> Если я и что говорю Крису - так это так как он занял позицию в споре на стороне AV.
это оскорбление. это все равно, что человеку, работающему на колбасном заводе, сказать, что он на стороне сосиок. причем, в отличии от вас он их не употребляет. а если и употребляет, то только по долгу службы, работая дегустатором.


> Иногда он защищает AV индустрию
av индустрия моей защиты не требует. во всяком случае от вас. а поскольку вы сами же выше доказали, что это не мой бизнес (и у меня действительно оклад), то даже если кто-то из юзеров прочитав ваши посты раздумает покупать антивирус -- мне от этого будет ни жарко, ни холодно.

> аппелируя к гопнической массе хакеров,
в контексте, когда эта гопническая масса считает аверов ссучившимися моральными уродами, отказываясь называть конкретные имена.

> иногда - например про массовые FP - он сразу же
> "я вообще только в этом проекте а с этими я только
> на StandupMeeting'е иногда пересекаюсь".
поскольку мы не только в разных городах, но и разных странах, то и на StandupMeeting'е мы не пересекаемся.

 

dZentle_man
> То, что десктопные антивирусы - тормозное и глючное безобразие - отнюдь не секрет.
вот-вот. единичные продукты могут работать без установки и уж совсем штучные продукты готовы грузиться со флешки или линуха (но и качество детекции у них). вот типичная ситуация - завелась малварь и стала вешать систему. попытка установить антивирус заканчивается стабильным голубым экраном. а запустить его без установки не получается. и это во времена загрузочных флех ;(

и про тормоза я сам согласен. попытка установить аверь на ноут привела к резкому сокрашению времени работы от батарей. зачем мне это нужно?! вот так плачу и рыдаю.

> Но то, что вы предлагаете отказаться от них совсем - это гораздо более неумно.
тоже согласен с вами. другое дело, что было бы неплохо заняться повышением уровне компьютерной граммотности населения. но кто ей будет заниматься? и в какой отдельно взятой стране?

> Антивирусы, как и вирусы, способны нанести вред компьютеру
> в равной степени, причем иногда так и происходит, но по крайней
> мере за работой антивирусов следят производящие их компании,
любое дисфункциональное ПО способно нанести ущерб. и антивирусы тут не исключение. есть суды, есть лиц. соглашения. есть наконец здравый смысл, который никто не отменял. и злобстовать по поводу сбоев в работе антивируса...

> Что вы вообще предлагаете взамен антивирусов?
человек ничего не предлагает. он только критикует. критиковать и ничего не делать -- проще всего.

> а антивирусы сдерживают эпидемии довольно успешно,
вот потому-то гопники и злобстуют. типа только запустили очередную малварь, которую разрабатывали многие месяцы в своих подпольных лабораториях, как бац -- твою мать, атака захлебнулась уже через несколько часов после начала, собранный урожай ботнета практически погиб, C&C задавили на магистральных каналах и вложенные деньги так и не отбились.

> и по-крайней мере защищают от уже известной заразы
вот! ключевое слово уже известной. в этом и есть основное предназначение антивирусов. проактивка и эвристика -- это как довесок.

 

Ну да, я в общем то для поддержки вашей точки зрения и написал) Просто попытался чуть переставить слова и держаться поближе к контексту его обиды - вы-то пытаетесь объяснить механизм работы антивирусных компаний в целом, а его волнуют конечные продукты для десктопов бухгалтерии и домашних юзверей) На самом деле на меня очень просветляющий эффект произвела ваша статья в хакере "антивирус на помойку" http://www.xakep.ru/magazine/xa/092/040/1.asp , но это я, мне это интересно и в будущем планирую извлекать из своих знаний звонкую монету, а что делать бухгалтеру или слесарю, которым и ассемблер то не осилить либо из-за недостаточной заточенности мозга, либо из-за нехватки времени. И вот этим то людям он в числе прочих предлагает отказаться от антивирусов)

Тут мы рискуем уйти в бесконечный идеологический спор, но пару слов скажу. На самом деле компьютерная грамотность сама постепенно проникает в массы, другое дело что хакеры все равно всегда будут на шаг впереди, на то они и хакеры. Конечно такие "детские болезни", как пароль "111" сами по себе сводят на нет любые усилия на поддержание безопасности, но наученный на горестном опыте юзверь умнеет, другое дело что юзверей много и каждому нужно научиться если не на своем опыте, то хотя бы на опыте соседа) К тому времени, когда в первом классе в школе будут учить придумывать длинные пароли и не тыкать в баннеры, такие вещи как полиморфные движки и обфускаторы нам уже будут казаться открытым форматом типа упомянутых HLL и ENG ввиду ушедшей вперед технологии)

Ну почему же не позлобствовать... Деньги заплачены - значит есть право) На самом деле это даже полезно, иначе если компании не будут ссать перед потенциальными сутягами, то и качество продуктов будет страдать. Другое дело, что идеального ничего не бывает, но все-таки этот страх будет двигать прогресс вперед) А бесстрашие, в свою очередь, провоцировало бы загнивающее болото неподвижности.

Ну да, я и провоцирую что-нибудь предложить) Пока он предлагал только отказаться от антивирусов, но я выдвинул аргументы против)

Да да, я знаком с этим из ваших статей и книг, но для него я стараюсь пересказать то же самое другими словами и чуть ближе к его сути претензий)

Да, это правда. Именно поэтому я и стараюсь дискутировать по поводу антивирусов, а вы ему больше пытаетесь объяснить проблемы индустрии в целом, включая IDPS. А он все не ухватывает широту взгляда)

 

dZentle_man

ничерта она больното не проникает)
основная масса неграмотных людей неграмотна, не потому что это сложно, а потому что это "в западло".
они считают что это удел яйцеголовых ботаников и реальным пиплам это не нужно.

 

Летайте самолётами аэрофлота. Тенденция к ужесточению контроля над злокодом. Имхо сейчас малвари в основном уповают на тупость. Скачал я LockScreen, так он не работает под юзером с правами установки программ. Сплоит? Но что ему делать с защитой от выполнения кода на стеке? Заражение? Но что делать, когда программа выполняется в ограниченном пространстве и не под админом? Сейчас ещё есть олдфаги с XP и старыми процессорами. А дальше? С линуксом так давно всё ясно, не вотчина это малварей, но и винда уже не лыком шита. Я этому только рад. У малвари с моей точки зрения только один положительный момент - держать в тонусе. Антивирусы это своего рода костыли, хотя и они иногда полезны. Вот такой поток сознания.

 

Ключевое тут слово - ПОСТЕПЕННО. То есть не так быстро, как хотелось бы, не так быстро, как следовало бы, не так быстро, чтобы эта грамотность была эффективной сегодня, здесь и сейчас. НО проникает. То тут кого-нибудь подломают, то там. Кто то задумается. А кто-то научится. А как еще? Вы-то знаете какие могут быть угрозы, а обыватель думает что сама его персона никому настолько не интересна, а софтверные продукты кажутся ему неуязвимыми потому что он сам не знает их уязвимости. Поэтому только на своем/соседском опыте угроза и познается.

 

dZentle_man
Прогресс приходит сам в дома. Win7 по-умолчанию гораздо защищённее чем та же XP.

 

Booster
> Летайте самолётами аэрофлота.
а чем вам не нравится аэрофлот? в экономе кресла лучше чем у большинства европейских компаний в бизнесе. хамства не наблюдается. это конечно не эмираты, но и не айберия.

> Тенденция к ужесточению контроля над злокодом.
> Имхо сейчас малвари в основном уповают на тупость.
ну малварь она разная бывает. хотя в своей массе, конечно, тупая.

> так он не работает под юзером с правами установки программ. Сплоит?
большинство малвари сейчас работает только под админом потому, что под админом сидит основная целевая аудитория. смысла прикручивать работу не под админом нет, к тому же не под админом далеко не все можно сделать и в сценарий атаки добавляется как минимум эскалация прав.

> Но что ему делать с защитой от выполнения кода на стеке?
"нэ смешно". ret2libc (пришла из никсов когда еще двухтысячной винды не было), сейчас повально используется ROP. так же используются JIT компиляторы, которых скармливают что-то типа a ^ b ^ c ^ d, a они генеряет /xor eax, b/xor eax,c/xor eax,d (где a, b, c ,d - константы, предствляющий собой машинный код), а потом мы просто прыгаем в середину инструкции и выполняем шелл-код даже с DEP.

> Заражение? Но что делать, когда программа выполняется
> в ограниченном пространстве и не под админом?
если нужно рассылать спам, то обычно хватает и не админских прав. так же не под админом можно внедриться в документы, создавемые юзером. уже демонстрировался PoC когда открываешь PDF, а он сцука копирует себя в другие PDF на диске к которым есть доступ (а доступ к ним скорее всего есть). получается реальный вирус.... который рано или поздно будет запущен и под админом.

> Сейчас ещё есть олдфаги с XP и старыми процессорами. А дальше?
win7 атаковать сложнее, согласен. но ведь атакуют же! и куча сплоитов есть на паблике. и многие способы атаки не будут закрыты как минимум до следующей версии винды, ибо там много чего переделывать надо...

> С линуксом так давно всё ясно, не вотчина это малварей, но и винда уже не лыком шита.
успокаивайте себя, успокаивайте. сейчас даже установка заплаток уже слабо помогает, ибо хакеры куют оружие загодя, а при появлении zero-day регируют моментально и устраивают спам, который пока успеют отразить -- уже все больные. другой вопрос, что раньше черви жили годами. сейчас это "окно" сокращается в идеале до нескольких часов. но в эти несколько часов (в активной фазе червя) он успевает дофига так что потом не разгребешь.

> Я этому только рад. У малвари с моей точки зрения
> только один положительный момент - держать в тонусе.
я бы сюда еще добавил и то, что малварь создает потребность в защите и vx писатели меня фактически кормят, поят, одевают. пока они корпят над ассемблером я летаю на A380 бизне-классом (где даже душ есть!) и хорошо понимаю их обиду, потому как я ж на них наживаюсь. но вместо того чтобы остановится и перестать точить (чтобы пустить меня по миру) они выдумают новые методы атаки, что автоматически вызывает потребность в новых методах детекции и я снова на A380 в тайланде с деффками. почему с деффками? не... совем не потому что они мне помогают думать. как раз наоборот. но если разработать детекцию за один вечер, то как-то не гуманно просить за нее мегабабло. а так -- исчезнуть на месяц и потом появится с криком -- у меня получилось! у меня получилось! (ужасный код, написанный в зале ожидания на нетбуке в блокноте). и -- жизнь продолжается!!!

> Антивирусы это своего рода костыли, хотя и они иногда полезны.
вот с этим никто не спорит. весь вопрос в том, как сделать антивирус не-костыль. в идеале, конечно, этим должна заниматься ось при поддержке железа плюс люди в погонах. вы же ведь на входную дверь ставите обычный замок, а не систему видеонаблюдения со спаренным пулетом, верно? а вот клево было бы с пулеметом. ну вот идешь мимо припаркованной машины, а она снимает тебя на камеру, опознает в тебе преступника (ошибочно) и потому расстреливает на месте. кстати, тоже самое может сделать и твоя собственная машина. а что? снимает отпечатки пальцев и если они матчаться -- она впускает усыпительный газ, вызывая отряд милиции. вот было бы клево.

 

Увы да, все к тому и идет. Полная аналогия с реальностью - мы же закрываем железную дверь на ключ когда уходим, а если вскроют, то вызываем милицию, которая по горячим следам порой и ловит. Так и с хакерами - технически и практически выловить его не сложно, просто пока что это дело еще никем не поставлено на поток, хотя уже есть определенные сподвижки. Неломаемых программ не бывает, как не бывает и невскрываемых дверей в квартиры. Поэтому есть закон и есть правоохранительные органы, которые занимаются расследованием и поимкой. Эра хакерской романтики и наивности уже в самом закате, освещающим багровыми лучами суровые, а порой и безумные лица...

 

kaspersky

Достаточно минимальной грамотности. Думаю процент сидящих под админом далее будет сильно сокращаться.

Хорошо, дырка в JIT. А Java Script компилируемый? Думал, что нет.

Я не о том что это невозможно, как раз возможно, так как проприетарщина годами может необновляться. Но всё таки там более грамотно организовано с правами, даже юзерные программы хрен заразишь, так как прав на запись тупо нет. Документы да, но какой толк от заражения документов, если код всё равно не сможет ничего сделать? Если только удалить чего или прочитать.

Угу, на уровне операционки это делать более верно, сандбоксы те же. Вынь же идёт поэтому пути. Как-бы она не стала настолько умной, что малварь стала бы невозможна в принципе.

 

Booster
> Хорошо, дырка в JIT.
ага. дыра на ровном месте. надеюсь, скоро закроют, добавив раномизацию нопами

> А Java Script компилируемый? Думал, что нет.
на IE нет, а так JIT используется. в хроме есть точно (потому что сорцы движка смотрел). в ФФ оно как бы компилируемое, но совершенно не представляю как заюзать откомпилированный код в зловредных целях.

но что делать с ROP? оно ж зараза даже на совсем недырявом ARM работает, где стек ни разу не исполняемый, не говоря уже за x86/x86-64.

> Я не о том что это невозможно, как раз возможно,
> так как проприетарщина годами может необновляться
так и открытые исходники тоже. обычное дело. у всех свои бранчи и даже если вышел фикс - хз как его быстро к себе интегрировать.

> Но всё таки там более грамотно организовано с правами,
> даже юзерные программы хрен заразишь, так как прав
> на запись тупо нет. Документы да, но какой толк от
> заражения документов, если код всё равно не сможет
> ничего сделать? Если только удалить чего или прочитать.
от удаления всех исполняемых файлов юзер совсем не пострадает. а вот от порчи документов его может хватить св. кондратий. права на запись документов в 99,96% есть. и если документ А может внедряться в документ Б, то мы получаем нормального документного вируса. а документами люди обмениваются даже чаще чем исполняемыми файлами.

вы посмотрите на адобу и pdf. адоба уже тянет на операционную систему. там очень сильно до фига ненужных вещей. один из последних сплоитов вообще тупо выгружает на диск vbs, запускает чего чрез cmd.exe? этот vbs генерирует exe и тут же его запускает. а юзер всего лишь открыл pdf...

посмотрите сколько юзеров торчат в вебе и юзают типа гмайл, гдок и т.д. и какова актуальность атак на браузер в этом свете? тут на компе запускать ничего не нужно даже. а сплоит для хрома демонстрирующий "увод" гугловский акков при посещении зловредного сайта (при условии, что гмайл открыт в один из вкладок) уже был продемонстрирован. очень мило, да? ну ладно, не буду я юзать гмайл из веба. но ведь в ютут я все равно захожу по тому же акку. хорошо хоть появился сбро паролей на сотовый. и ведь не ровном же месте он появился...

> Угу, на уровне операционки это делать более верно, сандбоксы те же.
ну тут не только санд-боксы... если бы в вин можно было нормально создавать новых юзеров и запускать от их имени все программы... когда-то я пытался таким образом ограничить в правах IE. ну типа создаю юзера, забираю у него все права доступа, кто самых минимальных, что он даже моих файлов не видит. пускаю IE. ну и пусть тогда IE ломают сколько заходят... а фиг там. не запускается он.

до сих пор куча приложений требует прав, которые им не нужны. ну тут достаточно вспомнить, что при установке софта для айпода он сцука создает системных сервисов целую кучу. вот радость! скажите, действительно ли для того, чтобы залить файл на айпод по USB нам нужны _севрвиы_ ?!

> Вынь же идёт поэтому пути. Как-бы она не стала настолько умной,
> что малварь стала бы невозможна в принципе.
хорошо бы так. но большое кол-во публичных сплоитов под семерку, изначально спроектированных так чтобы работать при активном DEP/ASLR, не дает никакой надежды на скорую победу. причем, чем сложнее система (а сложность систем неуклонно растет) тем сложнее оценить ее (не)безопасность. и поюзанный JIT компилятор SWF это ярко подтверждает. если рассматривтаь технологию DEP/ASLR изолированно от JIT, то мы за деревьями не видим леса. это сейчас очевидно, а раньше и в голову не приходило, что можно так круто извернуться.