Dotaz na zkušeného hackera či programátora

[Wordstar14]

Konkretne si nastav FS tak aby zapisovane subory do temp nemali atribut "X" (execute).
A odstran z NTFS funkcionalitu streamov. Je totiz mozne vytvorit subor s nulovou dlzkou a moze obsahovat uplne hocico aj vir, ktory nieje beznymi prostriedkami detekovatelny.

[Reklama]

[qcp]

no to se ti rekne a co kdyz to nejaka systemova komponenta ty streamy vyzaduje, jak to odpalim?

a ten %TEMP% to take neni prdel:

%TEMP% ukazuje do C:\Users\<%username%>\AppData\Local

jenze nespousti nahodou odtud installer pri instalaci nejake soubory, takze potom uz nix nenainstaluju???

me jde hlavne o to kdo ten virus, ulozeny do tempu, spustil bez meho vedomi?Nejsem BFU abych neco takoveho totiz odkliknul, to nepada do uvahy.

no ty vado ja jsem vzdy zkousel Kerio monitor jiny snad ani neznam

myslis ten 5 let stary prejmenovany na Sunbelt Personal Firewall 4.6.1861 ?

[Wordstar14]

Na Bill systemoch mas len dve moznosti.
Bud si vyberes pouzitelnost, alebo bezpecnost.
Ak si vyveres to druhe, dost veci ti nepojde.
Existuje aj tretia moznost, prejdes na Nix. Ja som presiel niekedy pred 12 rokmi presne z toho isteho dovodu aky riesis ty teraz.

Vytvorit skryty vir na BillOS nieje tazke, dokaze 6 rocne decko ked mu povies co ma stlacit.
Vyskusaj:
echo moj prvy vir > pokus:stream

[qcp]

ale jak ho spustis, he?

[Wordstar14]

Susti si ho sam OS, ked sa do registra zapise prislusny kluc a kedze to ma automaticky nastavene execute o zabavu nieje nudza. Najsuper je to, ze execute sa netyka len FS, ale aj kazdej pametovej stranky v oblasti virtualnej adresacie. Nix ma stranky nastavene na Non-execute, presne naopak ako ma BillOS.

[qcp]

Jasne, jenze jak zapises do registru klic bez meho souhlasu!?

IE uz davno nedovoli ani importovat soubor.reg z webu (drive to slo, kdyz jsi odklikl, ze ho opravdu chces importovat)... To slo klidne dat do meta tagu a natahnout ho a kdyz blbec user odkliknul, zapsan byl v registu, to dnes nejde ani kdyz user chce a primo na nej klikne.

Porad se motame okolo toho KDO to spustil!!! kde je hole. Vzdyt ani to echo nejde legalne spustit pres webove stranky...

[karlos]

Mám obavu, že celá tato debata je jaksi mimo mísu. Tazatele zajímá jediné. KDO? Rádci tuto odpověď neznají. Nezná jí ani Microsoft a nebo někdo, kdo produkuje jiný SW, který je za to zodpovědný. A odpověď neznají patrně ani společnosti, vyvíjející antišmejdo SW. Jediný, kdo prozatím zná odpověď, ja autor viru a ten naše fórum nejspíše nenavštěvuje a pokud ano, zcela určitě se touto debatou dobře baví a nenavede na správnou cestu. Hajzl...

Prozatím mi debata připomíná hru ANEBY z knihy Roberta Bakaláře-Psychohry, nebo dosti podobnou činnost Sherlocka Holmese a jeho věrného dr. Watsona
"A nebylo by možné ..."
"Ne. Protože ..."

[Wordstar14]

"KDO" bolo uz zodpovedane. Register uz mas patricne nastaveny od instalacie tak aby bolo mozne spustit v pameti akykolvek kod napriklad aj cisty text v ASCII.

[qcp]

s tim nemam problem, ale ja se ptam na neco jineho, JAK zapises do registru a JAK spustis kod samovolne kod? Mam odsledovane, ze ten kod se spustil primo po navstiveni urcite stranky (a ne po rebootu), jestli az po jeji druhe navsteve stranky od rebootu anebo hned pri prvni se to stahlo a spustilo, to samozrejme uz nevim...

jeste jednou, nespustil se, resp. nezacal skodit po rebootu ze Startup programs ci HKLM....RUN, ale vizualne: PO NAVSTEVE STRANKY !!!

karlos: mam zato, ze nekdo (!) snad reanalyzoval postup a nekdo z fora se s tim setkal a vi, kde je to opublikovane...

Mnohdy mam nepodlozeny pocit, ze ty viry tvori sami lidi spojeni s AV firmami .-) Je to v satelitech to same, kdo si myslite ze vydava "patche" na nelegalni prijem na receivery? Lidi spojeni s vyrobci tech set top boxu (zamer je vice prodavat ty boxy). Kdo si myslite ze vydava kéomercni hacky ochrannych systemu? Lide spojeni s vyrobci tech ochrannych systemu. (zamer je donutit provozovatele k upgrade CAS za tezke prachy :-)

[Uziv00]

Nechtěl jsem, ale neústupnost tazatele a jeho mentální schopnost mi nedá, než něco k tomu napsat.
Prvotní viry (a sám jsem to taky použil) využívaly tzv. zásobník. Při přístupu na záznamové medium se volal podprogram (obsluhují medium). Na mediu byl program, který se nahrál od adresy např. 7F00 a zbytek do 8000 doplnil bity 00 7F. Tím došlo k přepsání zásobníku (stacku), kde byla původně uložena návratová adresa, na kterou se měl vrátit podprogram po obsluze záznamového media. Takže místo aby v činnosti dále pokračoval systém, spustil se můj program na 7F00 a už si mohl dělat co libo.
Protože něco takového vyžaduje dosti velké znalosti a dnešní mládež nerada čte a už vůbec neposlouchá co kdo radí, tak stačí napsat jednoduchý skript. Tento ovšem uživatel musí spustit, případně jeho spuštění povolit. Nejlepší klasický případ je např. "I love you" napsaný ve vbs a posílaný e-mailem jako příloha. Příloha měla název "LOVE LETTER.TXT.vbs" a kdyby nebylo hlupáků, nikdy by se tento virus nehohl rozšířit. Otázka pro tebe - poznáš co je špatně?
No a jak to jde dnes, případně jak bych to ještě před nedávnem řešil já...
Na stránku umístím odkaz se zajímavým názvem (nějaké porno či jinou blbost). Odkaz zpracuji pomocí vbs (js) skriptu tak, že do něj vložím následující kód:

Kód: Vybrat vše

     
     Set oReg = objSWbemServices.Get("StdRegProv")
     oReg.SetDWORDValue _
    HKEY_LOCAL_MACHINE,novyKey,KlicName,Hodnota   


případně pro přímé spuštění čehokoli:

Kód: Vybrat vše

WshShell.Run prikaz

Samozřejmě, že povolení skriptu závisí na nastavení zabezpečení prohlížeče, ale co by člověk nepovolil, aby viděl nějakou nahatou celebritu....
Tím mám zajištěno, že jsem v registru vytvořil potřebný klíč. Co s tím dál je už jasné.

A pro tebe, protože opakování je matka moudrosti:
MS Esential není antivirus.
Používej firewall
Neklikej na kdejakou blbost
Nepoužívej IE pro brouzdání.
A ještě něco - viry tu byly a budou, a to tak dlouho dokud budou lidé, které bude bavit zkoumání, jak to vlastně funguje a budou se chtít učit. A povinností každého uživatele je chránit si svůj počítač, asi tak, jako si chráníš svůj byt, či podobně. Kdyby to totiž dělali všichni, pak by ubylo hlupáků a spousta virů by se vůbec nemohla rozšířit.
No a k poslednímu - nemyslím si, že by AV firmy vypouštěly viry za účelem zisku. Hodně z nich nechává svoje produkty, či jejich části pro uživatele zdarma. Na druhou stranu je třeba říci, že existují určitá podezření na konstrukci sofistikovaných virů (např. Stuxnet). Ale ani tady nejsou konstruktéry AV firmy.

[Wordstar14]

Ak by si vedel "JAK" urcite by si nerobil to co robis, pretoze na to "JAK" sa snazi prist tim specialistov v roznych firmach zaoberajucim sa bezpecnostou operacnych systemov a programoveho vybavenia. Bohuzial aj takymto specialistom to trva mnohdy aj pol roka kym sa dopatraju "JAK" (presne). Natiska sa otazka, aku samncu zistit "JAK" ma bezny uzivatel.
Je skor vhodnejsie prejst na ine bezpecnejsie systemy, pretoze v BillOS sa vyskytne kazdu chvilu nieco a kedze nemam nervy aby som furt hladal "JAK", presiel som na bezpecnejsi system a nemozem si stazovat. Za 12 rokov sa nevyskytla ani jeden incident a moja produktivita praca stupla niekolko nasobne.
U Billa sa este sytemy nenaucili robit. Nevedeli by to doteraz, to iba jeden specialista volakedy u nich robil co robil VAX system (David Cutler) a urobil pre nich zaklad jadra NT. Odvtedy pokracuju v tom sami a aj to tak vyzera.
Kod aplikacii sa miesa s kodom systemu, DLL-ky nemaju signatury, vykonavat kod je mozne z akejkolvek oblasti pamate a pod.
Ak mas cas a hladat "JAK" materialov je viac nez dost.
apropo kontrolujes a verifikujes certifikaty ? Dufam, ze neodklikavas, ked sa len nieco zmeni v certifikate.

[qcp]

Jsi Mac evangelist nebo co? Netvrd nam t ze na linuxu se da efektivne pracovat na desktopu, ne neda ani v roce 2012 to fakt efektivne nejde. Jako ze bych to dal sekretarce. Anebo jsem moc konzervativni a liny, to jde s vekem, ty jsi se pred 12 lety mozna zlomil jeste mlad... Ale ja nemohl, aplikace ktere jsem potreboval by byly porod na linuxu.

Podle me je cilova platforma viru zamerena na NEJrozsirenejsi (tedy nejlepsi) system, predtim to byl MSDOS a viry byly hojne i na Amigu. Linux na desktopu, na to nemam nervy a Mac mi prijde moc jednoduchy na PC ale tohle pisu z iOS a celkem je to easy a bezpecna platforma a ty aplikace kterych jsou desetitisice temer vse resi, tablet vydrzi 11 hodin treba streamovani videa a prace v kuse bez dobijeni a pokud nepotrebuju kreslit CAD nebo psat roman, vicemene s tim jde vsechno, pravda sprava linuxovych serveru a vi editor mi tim jde zatim kostrbate:-).

Kazdopadne neverim, ze udelat reverze toho viru by trvalo pul roku ale ja na to jsem liny.

Nechtěl jsem, ale neústupnost tazatele a jeho mentální schopnost mi nedá, než něco k tomu napsat.
Prvotní viry (a sám jsem to taky použil) využívaly tzv. zásobník. Při přístupu na záznamové medium se volal podprogram (obsluhují medium). Na mediu byl program, který se nahrál od adresy např. 7F00 a zbytek do 8000 doplnil bity 00 7F. Tím došlo k přepsání zásobníku (stacku), kde byla původně uložena návratová adresa, na kterou se měl vrátit podprogram po obsluze záznamového media. Takže místo aby v činnosti dále pokračoval systém, spustil se můj program na 7F00 a už si mohl dělat co libo.
Protože něco takového vyžaduje dosti velké znalosti a dnešní mládež nerada čte a už vůbec neposlouchá co kdo radí, tak stačí napsat jednoduchý skript. Tento ovšem uživatel musí spustit, případně jeho spuštění povolit. Nejlepší klasický případ je např. "I love you" napsaný ve vbs a posílaný e-mailem jako příloha. Příloha měla název "LOVE LETTER.TXT.vbs" a kdyby nebylo hlupáků, nikdy by se tento virus nehohl rozšířit. Otázka pro tebe - poznáš co je špatně?
No a jak to jde dnes, případně jak bych to ještě před nedávnem řešil já...
Na stránku umístím odkaz se zajímavým názvem (nějaké porno či jinou blbost). Odkaz zpracuji pomocí vbs (js) skriptu tak, že do něj vložím následující kód:

Kód: Vybrat vše

     
     Set oReg = objSWbemServices.Get("StdRegProv")
     oReg.SetDWORDValue _
    HKEY_LOCAL_MACHINE,novyKey,KlicName,Hodnota   


případně pro přímé spuštění čehokoli:

Kód: Vybrat vše

WshShell.Run prikaz

Samozřejmě, že povolení skriptu závisí na nastavení zabezpečení prohlížeče, ale co by člověk nepovolil, aby viděl nějakou nahatou celebritu....
Tím mám zajištěno, že jsem v registru vytvořil potřebný klíč. Co s tím dál je už jasné.

A pro tebe, protože opakování je matka moudrosti:
MS Esential není antivirus.
Používej firewall
Neklikej na kdejakou blbost
Nepoužívej IE pro brouzdání.
A ještě něco - viry tu byly a budou, a to tak dlouho dokud budou lidé, které bude bavit zkoumání, jak to vlastně funguje a budou se chtít učit. A povinností každého uživatele je chránit si svůj počítač, asi tak, jako si chráníš svůj byt, či podobně. Kdyby to totiž dělali všichni, pak by ubylo hlupáků a spousta virů by se vůbec nemohla rozšířit.
No a k poslednímu - nemyslím si, že by AV firmy vypouštěly viry za účelem zisku. Hodně z nich nechává svoje produkty, či jejich části pro uživatele zdarma. Na druhou stranu je třeba říci, že existují určitá podezření na konstrukci sofistikovaných virů (např. Stuxnet). Ale ani tady nejsou konstruktéry AV firmy.

Promin ale jestli me mas za hlupaka, podle toho co pises, to snad nemyslis vazne, ja tady opakovane pisu, ze je rok 2013, e browsery davno neykonaji takove operace a ty mi tu podsouvas, ze spustim skript protoze si budu myslet ze oteviram TXT?

Tys to moje necetl asi cele, anebo vypadam jako uplny idiot? Tvuj priklad se zasobnikem platil nekde na xspektru nebo tam, kde se natvrdo adresovala pamet, ale to je snad uz nejpozdeji od Windows 3.1 (tedy asi drive ne se vetsina zdejsich ctenaru narodila) dynamicke, a na pevnych ofsetech uz maloco najdes a windows nt tusim zavedly ochranu pameti a tak tam nemuze kdokoliv cokoliv zapsat.

Jak mi pomuze firewall? Jaky presne firewall myslis? Jsem za natem v modemu a pres ten nic zvenku neproleze, takze myslis firewall z pocitace do internetu abych blokoval porty ? Vsak se ptam na kerio monitor. Ze bych po 10 letech zacal zase monitorovat kam se jaky service z meho kompu konekti?