# есть кто из рестона или его окрестностей?

Clerk
> Эмулятора нет. Ну так за что мне платить и где обещанный пиаром детект ??
попытаюсь объяснить еще раз. McAfee AV детектит вирусы по сингатурам, при условии, что вирус вообще детектиться таким образом. если же вирус хитрожопно полиморфный, то используются специальные модули детекции, которые при необходимости могут обращаться к эмулятору, прогоняя на нем код.

таким образом, эмулятор есть, но непосредственно до него не достучаться. почему оно так, а не иначе - это архитектурное решение такое, имеющее свои плюсы и свои минусы.

я уже устал вам повторять, что код приведенный вами них не доказывает. вот вы говорите, смотрите, я слегка изменил существующий вирус и он перестал ловиться. так ведь с таким же успехом вы могли его очень сильно изменить, "обернув" в еще один слой шифрования, использующй в качестве ключа то, что невозможно проэмулировать (коды ошибки открытия разных файлов например). и в чем суть?!

обходом эмулятора McAfee AV был бы пример вируса, который McAfee обломался бы детектить. в смысле вирус есть, а лекарства против него нет и скоро не предвидится.

что же касается глобальных вопросов, то я сейчас от нечего делать работаю над транслятором асма в микрокод, который потом загоняется на графы и таким образом можно распознавать алгоритм независимо от его конкретной реализации. ну в очень грубом примере xor eax, eax/mov eax,fs:[eax] ловится так же как и push fs:[0]/pop [mem] и даже как mov eax, fs/mov ds, eax/xor esi,esi/lodsd. потому как это ж граф, а не хухры мухры.

осталость только добиться чтобы эта штука взлетела. а то пока она не летает, а ползает. производительность на нуле и куча нерешенных (пока) проблем с самомодификацией и юзаньем недокументированных структур оси.

> Не говоря уже про пермутацию и особо продвинутые методы обхода эмулятора
мы работаем над этим и прогресс есть. "мы" это мысчщъх с товарищами. а работаем мы в другом подразделении, чем то, которое имеете ввиду вы. но ваши примеры все равно интересны.

> Мы негодуем.
а купите наш ипс, а? или вот может быть (ну тут я должен посовещаться с руководством) вам удаленный доступ к нему дать? потому как это не софтвер, а коробка. железная. от делла. будет действительно интересно если вы сможете его обойти. мне, конечно, за это дадут по попе (если вы его обойдете), но вот если вы его не обойдете -- мне дадут пряник. как вам идея? интеллектуальный поединок. ничего личного.

 

deLight
пжласта, не наезжайте на товарища Клерка. он ведь по делу говорит. и говорит совершенно правильно. просто у нас взгляды отличаются на концепцию антивируса. причем, даже не мои и его личные взгляды, а его взгляды со взглядами архитектора антивируса продаваемого под торговой маркой компании в которой я работаю и которая поглотила нас так же, как поглотила его разработчиков.

 

> эмулятор есть, но непосредственно до него не достучаться.
Так как мне сделоть чтоб тетектил вирь, пять десять лет назад скомпиленный
> в чем суть?!
Суть в том что вы кричали что макофе тру, но как видно эсенциалс и остальные несколько аверов имеют можный эмуль, а ваше - это сигнатурный детектор времён мсдоса, нахер он нужен вобще, что там у вас в конторе одни дебилы что нормально всеюзабельную вм не могут прицепить ??
> удаленный доступ к нему дать?
Накой он мне, если есть бесплатно вмваре ?

 

Clerk
статьи с твоего сайта не скачиваются

 

Krait
> Крис, без обид,
без обид, так без обид. и даже без перырыва на обед.

>> есть кто из рестона или его окрестностей?
> Вы считаешь что таки действительно на васме есть люди, которые в дни твоего
> пребывание рестоне были в онлайн AND которые частенько заходят в HEAP AND
> которые увидели твой тред AND которые живут в США AND
> (которые живут в рестоне OR его окрестностях) ?
дни моего пребывания тут затягиваются. и рестон это только "тут", т.е. изнутри, для всех остальных это dc, а это весьма общирная зона, нашпигованная кучей секьюрных фирм и где туссоваться хакерам как не здесь? к тому же я своих не только на васме ищу... и знаю, что многие васмовцы уже давно кинули хвост за рубеж

> Зачем Вы это делаешь? Форс ли это? Если да, то форс чего? Себя?
гм. не кажется ли вам, что переброска хвоста из российской деревни в деревню американскую это, выражаясь могучим и великим "смена шила на мыло". в москву перебраться и то сложнее. цены на аренду выше. приличных отелей за $60/ночь вообще нет (я не уверен, что в москве вообще можно хоть что-то найти за $60). да еще и менты. прописка. регистрация. куча всего. жуть.

а тут... ну что тут... разве что белки. но к белкам быстро привыкаешь и когда она прыгает на тебя, то это уже культурного шока не вызывает. это во времена ссср было круто представить себя в сша. а сейчас в сша может перебраться каждый.

> Ты для меня бы был большей легендой если бы я о тебе ничего не знал.
не хочу быть легендой. хочу быть как все.

> ушёл читать книгу "Компьютерные вирусы изнутри и снаружи by К.К.",
> ибо правдой и истиной полна.
я ж говорю, что остался кем был.

> И вообще, было бы лучше, если бы Васм был без форума.
> Результат -- меньше трёпа, больше статей.
статей только в один хакер я написал больше пятисот. а потом стало скучно. причем 90% статей написаны без понимания сути вопроса. теперь я хоть начинаю понимать чего я не понимаю. вижу реальные вирусы изнутри и снаружи. вижу антивирусную индустрию. так что в голове у меня уже бродят мысли...

ЗЫ. гусары! молчать о сексе с белками!

 

Clerk
>> удаленный доступ к нему дать?
> Накой он мне, если есть бесплатно вмваре ?
да блин не к дестопному антивирусу. а к железке. там стоит продукт совершенно иного класса. "бесплатным" он не может быть в приципе, т.к. отдельно от железа не продается. ну и качество детекции у него... но суть даже не в качестве. там работают мои модули. и потому мне интересно сможете ли вы обойти _их_.

 

Ох лол....
Ну как же без флейма в диезной теме?

Скажу две вещи:
Первое. Если человека так цепляют чьи-то "понты" (Причём, есть мнение, что человек чего-то добился, а не просто языком чешет , то это повод задуматься о собственной полноценности.

Второе. Крис рассказывает/хвастается (подчеркнуть по вкусу) о том, что ездит по разным странам, видится с интересными людьми и прочее. Мне одному кажется, что нет разницы в том, с какой он целью делает? Это информация к размышлению и не более.

Кстати, в определённой степени я благодарен крису. Читая его статьи, книги и посты я понял, что если очень захотеть - можно в космос полететь

kaspersky
Чего-то вы соооовсем на связь не выходите. Я если честно, не нахожу причи не появляться в гуглотолке, разве что отсутствие времени.
В прочем, дело ваше.

 

Решил вставить 5 копеек(постараюсь 10, а ось и выйдет)... )))
Windows умерает??? Это врядли(по крайней мере еще лет так 10 точно будет успешно работь).
Хотя Soft-ice пора воскрешать и добавить *nix(можно наверное Ring0Rasta посмотреть, как код согласовывался под разными осями). Вообще наверное новый хак инструменты уже должны быть "кроссовскими".


Детекция вирусов по сигнатурам?? Это временное решение бролемы...
Скорее всего надо писать Эмуляторы винды ну или ОС(к стати, у вас наверное usb устройство на котором стоит АВ?? так что смело можно эмулировать без особых потерь производительности, после чего делать commit или rollback, понимаете??? ).

Хотя с другой стороны, что такое вирус(malware)?? Ни что иное как вредноностное программное обеспечения, а требуется всего то, навсего присикать плохии действия... Проактивная защита??? Нет, пожалуй слишкам часто придется кликать на всплывающие окна... Эвристика исполнения процесса??? Да, но сдесь скорее всего потребуется некий ИИ. Вот только ИИ не будет требовать самообучения, а всего лиш будем иметь базу знаний(на что обращать внимания, при каких случаях ну и все такое)....

kaspersky

Если сигнатурный поиск, то вы сами ответили на свой вопрос....
Если проактивка.... То тут интерестней....

 

kaspersky

Мне нравится идея.
Только есть несколько вопросов:
1) Каким образом ипс будет показывать результат сканирования файла?
2) Что является обходом ИПС (тоетсь напрмер вы даете паблик какоето гуано, естественно оно модифицируется для обхода не теря своей функциональности, и потом дается вашему ипсу который говорит файл ок)?

Вот и яб с радостью поколупалбы софт этой коробки

 

kaspersky
Ну и какбы тыж не маленький и должен понимать что нету ничего невозможного.

 

PaCHER
> Ну и какбы тыж не маленький и должен понимать что нету ничего невозможного.
это понятно, что абсолютной защиты нет. но ведь и абсолютного лома тоже не существует. допустим, эвристик ловит все известные алгоритмические атаки. в очень грубом приближении это можно представить так: ну вот допустим у нас там активная DEP и SafeSEH. какие известные атаки тут есть? одна из атак (самая популярная) ret2libc. она пропаливается в лет простым регулярным выражением. SafeSEH как бы тоже обходится, например, путем поклажи поинтера на MFC42.dll (как вариант), что элементарно палится. а вот какие еще неизвестные атаки существуют? или чего еще мыщъх не учел?

> Мне нравится идея.
это кул!

> Только есть несколько вопросов:
> 1) Каким образом ипс будет показывать результат сканирования файла?
по фидбеку. если ваш файл долетел до цели и не был сбит крылатой ракетой он свиснет.

> 2) Что является обходом ИПС (тоетсь напрмер вы даете паблик какоето гуано,
вы получаете IP на котором установлена дырявая система. для простоты версия системы вам известна и сообщены все необходимые данные для атаки. ну грубо говоря это хрюша без сервис паков или вам нравится линь? тут есть варианты.
и вы пытаетесь ее атаковать, посылая сплоиты например на пресловутый 135 порт, который не закрыт и который откликается. или эксптуатируете какую-то другую дыру. в принципе это может быть дырявая аплеуха (например, дырявый GIMP). поскольку я заранее не знаю чего вы изволили атаковать, то ловлю только эвристикой по содержимому сетевых пакетов в поисках в них машинного кода (который вы навярняка изгадите так, что и человек не разберется что это такое)

в принципе условия обсуждаемые. если вам эта идея нравится, то я бы обудил с начальством любые варианты.

> Вот и яб с радостью поколупалбы софт этой коробки
он по понятным причинам закрытый. к тому же в нем ни черта понять невозможно. коллега который сидит слева от меня очень толковый дедок который пишет нейросети. я смотрел краем глаза - нихуа не понял. ну а мои модули это некошерный си, где даже простая проверка на принадлежность числа диапазону делается через AND, XOR, OR...

 

kaspersky
Ну какбы речь шла не совсем об атаке по портам или эксплойтам (какбы форум немножко не той тематики даже, поэтому об удаленке и не говорили,коверкать коды протоколов какбы не то), я имел ввиду эвристику не протакола с известными дырами, а эвристику обычного ПЕ файла который из предоставленного определит саму вредоносную составляющую.
Ну а как вы обрисовали хипс, то конечно чтоб не тыкать пальцем в небо не переберать все возможные атаки а проще купить уже эту железяку и в спокойной среде не парясь что тебя будет ктото логировать в данный момент, разобраться с защитой, и потом уже делать целевую атаку.

Кстати еще интересно, данный хипс он предотвратил атаку конфликера когда только начали использовать дыру?

 

> статей только в один хакер я написал больше пятисот. а потом стало скучно.
Често говоря мне ваша только одна статья понравилась, чтото про профилирование в маздае, точно не помню уже. Просто статьи не того уровня, цель написания статей не корректна, они расчитаны на толпу. Тоесть сравните например мсдн(фу бяка, просто пример) и ваши статьи про иду..
> мне интересно сможете ли вы обойти _их_.
Если код допущен к исполнению локально, то можно обойти всё. Фактически ошибки есть всюду. Решающим моментом будет изучение оси, для выявления не обсуждаемых её нюансов, которые и позволят обойти защиту, либо изучение сторонней защиты. Если говорить про маздай - я абсолютно уверен что смогу обойти и детект(стопяцот раз) и препятствие на пути к низкому кпл, хоть ваш софт навешен, или другой какой. Хотя для второго обход является драгоценным ресурсом.

 

^ - kaspersky

 

Clerk
>> статей только в один хакер я написал больше пятисот. а потом стало скучно.
> Често говоря мне ваша только одна статья понравилась,
> статьи не того уровня, цель написания статей не корректна, они расчитаны на толпу.
принимается. все именно так и происходило, и даже хуже. допустим, надо написать статью на тему в которой я не шарю, и потому пол-дня гуглю все подряд, а вторую половину делаю из этого винегрет. в итоге получается "какая же это гадость ваша заливная рыба" (с)

сейчас по крайней мере можно писать для души... вот только теперь времени хватает только на то, чтобы на форумах потрепаться.

>> мне интересно сможете ли вы обойти _их_.
> Если код допущен к исполнению локально, то можно обойти всё.
не совсем так. ВЫ ===== коробка ====> жертва.
жертва дырява по определению и ее код доступен для изучения, поскольку это ось + apps, вы посылаете жертве сплоит, а коробка анализирует трафик и пытается предотвратить атаку. в принципе, вы можете атаковать и коробку, но вам о ней ничего не известно.

так что речь идет об обходе статического анализатора с минимальными задатками эмулятора (минмальными потому что нужно сканить трафик без задержки)

> Если говорить про маздай - я абсолютно уверен что смогу обойти
> и детект(стопяцот раз) и препятствие на пути к низкому кпл,
> хоть ваш софт навешен, или другой какой.
если вам это действительно интересно, то можно попробовать. интерес чисто спортивный. никакой реальной выгоды нет ни вам, ни мне. ну то есть понятно, что обойти можно все и что код который напишите вы для атаки он как бы так сказать... является далеко не типичным. на практике большинство атак настолько тупы, что они ловятся вещами типа Snort у которого до ужаса примитивный язык регулярных выражений. даже в эпоху MS-DOS кода антивирус каспера поставлялся с редактором баз - уже тогда его движок был в разы круче. и потому никто не требует от меня остановить _все_ атаки. достаточно того, что ловится хотя бы часть 0day атак эвристикой, часть конечно меньше целого, но намного лучше чем совсем ничего.

но вот чисто спортивный интерес у меня конечно есть распознать как можно больше. и если вы не прочь напрячь мозги...

 

PaCHER
> Ну какбы речь шла не совсем об атаке по портам или эксплойтам
вообще-то она изначально вообще за рестон и белок шла. потом клерк сказал за антивирус, к которому наша группа не имеет никакого отношения, о чем я и написал, что мы пишем и продаем ипс.

> (какбы форум немножко не той тематики даже, поэтому об удаленке и не
> говорили,коверкать коды протоколов какбы не то), я имел ввиду эвристику
> не протакола с известными дырами, а эвристику обычного ПЕ файла
на уровне IPS тут очень мало что можно сделать.

> Ну а как вы обрисовали хипс,
HIPS делает группа в санта-кларе и пекине. мы, кстати, с ними конкурируем внутри одной фирмы

> то конечно чтоб не тыкать пальцем в небо не переберать все возможные
> атаки а проще купить уже эту железяку и в спокойной среде не парясь
> что тебя будет ктото логировать в данный момент, разобраться с защитой,
> и потом уже делать целевую атаку.
в том-то вся и фишка. обойти эверстик дестопного антивиуса достаточно просто поскольку антивирус в наличии есть и в нем можно поковыряться. а "железка" недоступна, т.е. если вы действительно хотите купить наши манагеры будут только рады продажам. но это что-то от $13k в год. а может уже и больше. не уверен, что вы готовы выложить такие деньги и потому вам остается только гадать какие именно признаки используются для детектирования и где палево. допустим, вы грите: ну щас я его обломаю и шпигуете код самыми крутыми командами последнего пня, который сильно отличается от "нормального" кода, генерируемого компиляторами. он правда похож (возможно) на код некоторых протекторов, но протекторов не так уж много и их можно распознать поименно. это типа как пример. будете делать слишком заумный код - пропалитесь. слишком простой код легко проанализировать и понять его алгоритм, который и пропалить.

> Кстати еще интересно, данный хипс он предотвратил атаку
> конфликера когда только начали использовать дыру?
конфликер использует компоненты сдернутые с метасплоита, так что он был пойман и сбит. только не хипсом, а ипсом. и не эвристикой, а сигнатурным поиском. так что пример не очень удачный. до эвристики дело не дошло. а вот червяка с pdf/swf мой модуль прозевал. ну потому как там payload генериться налету актион скриптом, который я не поддерживаю. но вот другие червяки которые поползли следом были уже не столь продвинуты в техническом плане и они уже ловились, т.к. там payload генерился JS, который у меня поддерживается.

 

kaspersky
> можно попробовать.
Не совсем понятно что пробовать, эскалацию тестить смысла нет. Такой код не может быть выявлен, ибо он использует механизмы о которых никто не знает. Эвристику - тоже. Так как не все особенности оси и камня знает эмулятор, а тестируемый вирь полиморфный, там нужно только узнать ключ, который эмулятор не определит.
o Последнее что я описывал на паблике это были ошибки в распознавании префикса Lock (http://www.woodmann.com/forum/showthread.php?t=13199, http://paste.org.ru/?lwfzkv). Ядро XP для инструкции Ud2(или 0xFFFF etc.), после которой следует префиск 0xF0(напр, Ud2/Nop/0xF0) сгенерит STATUS_INVALID_LOCK_SEQUENCE, короче был просто поиск этого значения в первых нескольких байтах инструкции, что приводит к выходу за пределы инструкции. Потестите это и узрите
Если серьёзно ключ для расшифровки можно извлечь многими способами, которые не заложены в эмулятор просто по тому, что это ошибки.

 

Clerk
вношу уточнение. сперва нам потребуется ракета-носитель чтобы донести эту бомбу до цели. переполняющийся буфер, жаба скрипт или еще что. exe файлы будем просто тупо мочить в сортире, т.к. считается, что юзеров которые сидят за коробкой скачивать и запускать exe файлы никто не уполномачивал. а вот документами они обмениваются, ну и пакеты из сети принимают.

так что задача сводится к тому как бы нам засунуть исполняемый код в переполняющийся буфер и как бы непропалить сам расшифровщик.

я понимаю, что вы мыслите категорями exe файлов. но exe малварь это вчерашний или даже позавчерашний день. и что-то я не припомню червя который бы распростанялся напрямую через exe и при этом вызвал бы эпидемию, затронувшую и нормальных пользователей, а не только домохозяеек, запускающих все подряд.

сейчас основной вектор атаки - это документы. дыры в приложениях их обрабатывающих есть на всех осях: винде, линухе, маке, мобилках. и новое поколение вирусописателей делает ставку именно на них.

exe файлы сильно неинтересны. и эта тема уже полностью перепахана так что на ней живого места не осталось. полиморфики и стелсы были пиком развития этой технологии. и все. и ничего нового. а сейчас все-таки не ms-dos.

запуская любой exe мы потенциально рискуем. но можно запускать exe только от крупных поставщиков, сводя риск вторжения к минимуму. с документами этот номер не пройдет. их нужно скачивать из сети, получать по почте и открывать.

а как их твою мать открывать, когда у адобы только за последнюю неделю обнаружено две дырищи!!!

 

kaspersky
>> И вообще, было бы лучше, если бы Васм был без форума. Результат -- меньше трёпа, больше статей.
>статей только в один хакер я написал больше пятисот.

Да я не о тебе вовсе, а форуме в целом.

Если бы посетители уасма не распылялись в бесцельных спорах, то может бы у них было больше времени на _ .

 

kaspersky
Скриптами и их переполнением я не занимаюсь, так вот нечего мне предложить из этого. Вобщето я думал вы эмуль свой приватный вместе с тем дедом и естественным интеллектом тестить будите. У меня никакие костыли в виде ваших девайсов тут на проводах не висят, у меня есть железо в системнике и ось. Про что вы там говорите я хз. Это не запускается, то не скачивается.. Мне вири и руткиты интересны, соотственно ваша контора выпускает софт для борьбы с ними. У ваших китайцев может и не юзается винь и пр., у нас пока тут это юзается. Вы в беларусь свои девайсы поставляли ?
Так вот тут винь которую камень исполняет всеюзабельна, ни про какие девайсы разбирающие трафик мы не знаем.