# кто курил рустока?

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 14 май 2008.

Статус темы:
Закрыта.
  1. gfgfgfgf

    gfgfgfgf New Member

    Публикаций:
    0
    Регистрация:
    17 май 2008
    Сообщения:
    5
    UbIvItS
    гы надо пресс-релизы читать :D
    это про http://antimalware.ru? фиг знает, ты невнимательно
    читал он там говорил про другие новые руткиты.
    а это вирус, паразитирующий на системых дровах ms.
    ага а ещё у нас медведи по лестницам ходят и ген.директор на самокате катается =)
    1.5-3k это в рублях? =)
    все зависит от размера конторы и твоей должности и возможностей ;)
     
  2. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    gfgfgfgf
    > Крис с таким описанием как в твоем последнем посте
    > ты ещё оччччень долго будешь это хачить. 21 век на дворе.
    а я никуда и не тороплюсь.
    просто уже давно хотел реализовать старую задумку: эмуляция kernel-land в IDA, но как-то не было повода и не было достойного рут-кита, чтобы на нем ее обкатать. а так сейчас у меня все очень даже рульно. конкретно сейчас пишу эмулятор Kernel Processor Control Region'а, чтобы русток по FS читал валидный struct _KIDTENTRY *IDT, который тоже проэмулировать надо. и хотя эмуляция наполвину сделана на соплях, а на оставшуюся половину просто перекидывается память "живого" ядра, но там фишка в том, что вместо того, чтобы сразу эмулировать кучу команд в эмуляторе предусмотрен интерактивный вопрос: типа что данная инструкция делает?! и можно либо вбить скрипт, либо вручную задать какие регистры/память/флаги изменились, ну и т.д...

    в общем, лучше за пол-года долететь, чем за пол-часа добежать. зато когда я допишу свой эмуль kernel-land'а можно будет очень круто дебажить разные драйвера ;)

    p.s. если не секрет, а каким образом ты его распаковал? просто скажи: с запуском на живой машине или "руками"? то есть подпустил к себе на тачку рустока или не подпустил?
     
  3. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    помнится Касперский на самокате катался, сталобыть вы из Каспер лаб
     
  4. gfgfgfgf

    gfgfgfgf New Member

    Публикаций:
    0
    Регистрация:
    17 май 2008
    Сообщения:
    5
    удачи :D
    будет опенсурс?
    мы сконтактировали с ребятами в ms, и они дали
    нам попользоватся их внутренним эмулятором
    seye кажись называется =) после него осталось
    только частично реконструировать код :)
    А дальше ясно было. Сейчас вот эти распакованные
    зверушки бегают веселят нас и на вмварках и на
    обычных машинках ;) Хотелось бы ещё дроппер раздобыть
    для полноты картины
    SYMC.
     
  5. blood_raven

    blood_raven New Member

    Публикаций:
    0
    Регистрация:
    10 апр 2007
    Сообщения:
    55
    gfgfgfgf SEye - это если не ошибаюсь поделка небезызвестного EP_XOFF'a)))
     
  6. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    blood_raven
    дык, это ни для кого не секрет:
    http://www.antirootkit.com/blog/2007/12/23/ep_x0ff-and-rootkit-unhooker-off-to-microsoft/
    gfgfgfgf


    gfgfgfgf
    > внутренним эмулятором seye
    а я по глупости своей думал, что seye просто виртуализатор... ладно, надо будет на борще испытать....

    > удачи :D будет опенсурс?
    сложно сказать. я не один в проекте. его как и seye заинтересованы купить и даже начинать вкладывать деньги, когда будет минимально работающий макет, но продавать его если и буду, то только на условиях, чтобы им мог пользоваться кто угодно. ну исходные тексты, конечно, сами собой разумеются. а как еще плагины под иду распростанять? но вообще-то, по уровню это будет лишь чуть-чуть выше чем известный x86emu, т.к. я эмулирую еще и структуры ядра, не все конечно, но достаточно многие. хочется добиться, чтобы на нем можно было отлаживать руткиты.

    а про распаковку. ну там еще такая фишка уже практически на 90% реализована.
    *) колоризуется трасса прохода, чисто там для визуальщины, чтобы мы видели, где мы начали циклиться, проходя по одному месту несколько раз
    *) заточет трассер инструкций общего назначения x86, который видит условные переходы, как явные, так и скрытые (ну например, jmp reg, ret, etc) и ставит на них бряки. после чего пускает на выполнение. распаковщик не может никуда вырваться... и момент завершения распаковки определяется по бряку. если бряк скрытый (типа jmp reg) то он снимается если мы на этом месте были больше двух раз. бряк ес-но на target, не на сам jmp :)
    *) сразу показываются ячейки памяти, которые распаковщик модифицирует ,чтобы отличить где просто полиморфный мусор, а где реальный распаковщк
    *) совершенно недоделанный модуль, но - пытаюсь сделаь гибрид с gcc, чтобы тот гнал инструкции на графы, удалял мусор, неиспользумые результаты вычислений, ну и вообще выбивал пух
    *) чтобы точно распаковщик не вырвался - трассе команд, по которым мы проходим в цикле дается атрибут исполняемых, остальная память - неисполняемая. поскольку это эмуль, поддержка бита исполняемости со стороны ЦП не требуется.
    *) ну и куча других фенечек... даже если критора нет, а просто дикий обфускатор, то строим трассу выполнения, прогоняем ее через gcc, после чего получаем некоторый псевдокод, транслируемый назад в псевдо-ассемблер.

    код пишу не один, так что в настоящий момент предоставить не могу ;( спрошу остальных участников типа. если они не против - можно будет выложить ;)
     
  7. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    5.442
    gfgfgfgf
    очень уж любопытно куда они уцепится могут:)) - это весьма сильная заява:)
     
  8. Guest

    Guest Guest

    Публикаций:
    0
    UbIvItS вероятно это про BiosKit.
     
  9. dag

    dag New Member

    Публикаций:
    0
    Регистрация:
    17 авг 2004
    Сообщения:
    446
    Всё на много проще, какое количество народа пользуются OSями полученными от произодителя ? =)))))
     
  10. IceStudent

    IceStudent Active Member

    Публикаций:
    0
    Регистрация:
    2 окт 2003
    Сообщения:
    4.298
    Адрес:
    Ukraine
    BTF в помощь.
     
  11. asmlamo

    asmlamo Active Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    1.705
    Ценность Иисуса Христа для народа немного ниже плинтуса ...
     
  12. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    5.442
    im1111
    цеплятся к биосу, мягко говоря, палевый вариант:)) никто не отменял хэш сумму биоса, к тому же, на разных материнках вопрос прошивки может решаться по -разному.
     
  13. Guest

    Guest Guest

    Публикаций:
    0
    UbIvItS все это так, поэтому в широком использовании подобное не наблюдается, но факт существования хотябы образцов нельзя отрицать
     
  14. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    5.442
    im1111
    в качестве коллекций для себя или для статьи - да. а в принцепи никаких новых, прогрессивных техник для руткитосов и других зверюшек невозможно. вся эта история попрёт для аверских сайтов, дабы паства в испуге обновляла лиц-ию:)))
     
  15. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    IceStudent
    > BTF в помощь.
    ты що! эмулировать BTF я не собираюсь, тем более что он брякается на всех ветвлениях, а мне нужно только условные ветвления, причем реально условные, а не псевдо-условные по типу stc/jb xx
     
  16. bigbanner

    bigbanner New Member

    Публикаций:
    0
    Регистрация:
    23 май 2008
    Сообщения:
    1
  17. iamlamer

    iamlamer New Member

    Публикаций:
    0
    Регистрация:
    20 июн 2005
    Сообщения:
    273
    Адрес:
    Russia
    Интересно, он такой крутой, что если даже загрузиться с CD, то его все равно не видно? Или он парализует волю, так что CD выпадает из пальцев и не суется в щель? Или его гипнотизеры написали?

    НЕ ВЕРЮ! Пиар, пиар и еще раз пиар. На лету создается миф, который выгоден и VX-ерам, и некоторым AV-ерам. (Вирусмейкеры: ах, какие мы крутые, что даже тупые аверы нас 1.5 года не замечали. Данилов: ах, какой я крутой, что другие тупые аверы 1.5 года не замечали, а я заметил.)

    А эти "1.5 года" уже в энциклопедии вставляют. Тьфу! :dntknw:
     
  18. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    iamlamer

    Ты подтверждаешь свой никнейм :D
     
  19. iamlamer

    iamlamer New Member

    Публикаций:
    0
    Регистрация:
    20 июн 2005
    Сообщения:
    273
    Адрес:
    Russia
    Спасибо, ты открыл мне глаза. А я и не знал. :)
    Только от этого знания чудеса все равно не начнут происходить. И если ты в них веришь... хы-хы...
     
  20. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    5.442
    sww_
    на самом деле человек задал тебе вполне конкретный вопрос: коли это чудо цепляется к дровам винды - достачно сверить хэш суммы для каждого файла, а загрузка с cd довольно эффективный способ присечь активность зверюшки:)))))))
     
Статус темы:
Закрыта.