Dotaz na zkušeného hackera či programátora

[qcp]

Odkud jsi, Marťane :-) Z Moravy coo? :-))
http://cs.wikipedia.org/wiki/Česko ( huh tapatalk neumi odkaz z diakritikou tak uvidime zda tvuj browser )


Jsem si jist ze Woknousy brzdil AVG tehdy (jestli v jinem obdobi Alwil Avast, tak to vyloucit nemohu, ja vsak antiviry nikdy nepouzival), no ted asi brzdi oba stejne?

[Reklama]

[X]

Oba systémy pocházejí z Česla

[qcp]

No a kde je na klavesnici L ze by vedle K ? Pisi na skle to neni stopro, sorry.

[MiliNess]

Nějak mi to nedá a musím trochu zareagovat na příspěvky Wordstar14, jsou totiž plné předpojatosti a nepřesností:

1) Malware v současné době je vytvářen především kvůli tomu, aby vydělával prachy. Prachy jsou tam, kde jsou lidi. Až bude Linux rozšířený tak jako Windows, uvidíš co se najde bezpečnostních děr. Další tam pak zatáhnou výrobci softwaru třetí strany. Příkladem je nárůst malwaru zacílený na Android, který jemimochodem založený na jádře Linuxu. Na OS BADA taky nenajdeš malware, protože není rozšířený.
2) Většinu děr zatahují do Windows produkty třetích stran (např. v mnoha případech nepoužívají safe funkce pro práci s řetězci, které významě snižují možnost použití metody přetečení bufferu)
3)

Susti si ho sam OS, ked sa do registra zapise prislusny kluc a kedze to ma automaticky nastavene execute o zabavu nieje nudza. Najsuper je to, ze execute sa netyka len FS, ale aj kazdej pametovej stranky v oblasti virtualnej adresacie. Nix ma stranky nastavene na Non-execute, presne naopak ako ma BillOS.

U paměťové stránky ze které chceš spouštět kód, musí být explicitně nastaven příznak PAGE_EXECUTE. Pokud tomu tak není a je aktivní DEP, obdržíš při pokusu o spuštění dat v takové stránce, vyjímku.
Navíc adresové prostory procesů jsou od sebe izolovány a abys mohl zapisovat do paměťového prostoru cizího procesu, potřebuješ debug privilegium, ke kterému se dostaneš pouze jako administrátor.
Execute u souborového systému mi budeš muset osvětlit, nevím, co máš na mysli.
4)

tak aby bolo mozne spustit v pameti akykolvek kod napriklad aj cisty text v ASCII

Nevím jak to konkrétně myslíš, ale obsah každého spustitelného souboru můžeš také považovat za ASCII text.
Koneckonců každý znak je tvořen číselnou hodnotou a strojová instrukce je také jen číselná hodnota.
5)

Kod aplikacii sa miesa s kodom systemu

Tak to jsi kamaráde v dobách Windows 98, u Windows s jádrem NT ani náhodou. Kód jádra je izolovaný od uživatelskélského režimu. Kód jádra, ovladačů a HALu běží v ring0, aplikace v ring3. Chráněno je to segmentací a stránkováním. Princip je téměř stejný jako v Linuxu.
6)

DLL-ky nemaju signatur

Máš-li na mysli kontrolní součet, tak mají.
7) Pominu-li Windows XP, kde to nebylo s bezpečností nijak růžové, další verze Windows (hlavně 64 bitové) jsou postaveny skvěle. Za většinou infekcí operačního systému pak stojí uživatel. Když někdo vypne UAC, protože ho to obtěžuje, instaluje nedůvěryhodné pluginy a pod. pak se není čemu divit.
8 )

Konkretne si nastav FS tak aby zapisovane subory do temp nemali atribut "X" (execute).

Jak konkrétně? Napadá mě pouze upravení bezpečnostního deskriptoru složky, pak ale budeš mít problémy s instalacemi aplikací.

A odstran z NTFS funkcionalitu streamov

To asi těžko, protože je to princip NTFS

Je totiz mozne vytvorit subor s nulovou dlzkou a moze obsahovat uplne hocico aj vir, ktory nieje beznymi prostriedkami detekovatelny.

Každý antivir kontroluje alternativní datové proudy souborů. To jsi se vrátil hodně daleko v čase, do doby kdy se to nedělalo.
9)

echo moj prvy vir > pokus:stream

[qcp]

Ano nekdy v roce 199x jsme takle hackovali IIS, streamem se dal dostat k filesystemu.

Proto mi stale neni jasna odpoved na puvodni otazku vlakna, kde jsem udelal chybu, anebo autori IE9... O tom, ze u win7 64bit je velmi obtizne spustit microsoftem nepodepsany driver (nutno pri kazdem bootovani vypnout kontrolu) vim.

Autor propagujici linux asi zaspal dobu soucasnych windows, osobne si dovolim tipnout, ze linux na desktopu nepresahuje 2-4% celosvetove (nepocitam do toho tablety, kde je zakladem androidu i apple iOS samozrejme take linux).

[faraon]

5)

Kod aplikacii sa miesa s kodom systemu

Tak to jsi kamaráde v dobách Windows 98, u Windows s jádrem NT ani náhodou. Kód jádra je izolovaný od uživatelskélského režimu. Kód jádra, ovladačů a HALu běží v ring0, aplikace v ring3. Chráněno je to segmentací a stránkováním. Princip je téměř stejný jako v Linuxu.

Ano, v ideálním světě na ideálních počítačích s ideálními operačními systémy a ideálními aplikacemi používanými ideálními uživateli by to tak bylo. Ale protože ActiveX->Adobe->virus Policie ČR...

A díky úžasným nápadům redmondských bastlířů se Widle dají zavirovat i obrázkem v mailu, který si Outlook automaticky spustí v IE aniž bys ten mail vůbec otevřel

O známé díře trvající od W2000 a po W7 ani nemluvě!

[MiliNess]

Většinou je to ale pouze teorie. Už dlouho jsem neviděl kvalitní malware, jehož část by běžela v režimu jádra a už vůbec ne na 64 bitovém OS. Moc to nesleduji, ale co vím, tak to byla naposled TDL rootkit (TDSS, Alureon), která nahrazovala prostřednictvím háku INT13 kdcom.dll svým vlastním modulem a navíc na některých systémech nepotřeboval instalátor rootkitu admistrátorská oprávnění (instaloval se za pomoci print spooleru)
Jinak o podobné věci nejsou ochuzeni ani milovnící Linuxu.
Hodně slabin ve Win je v grafickém subsystému, jelikož MS kvůli výkonu většinu umístil do režimu jádra. Moc se toho ale zneužít nedá, spíš shodit počítač.
Malware tedy většinou běží v uživatelském režimu, kde má velmi omezené možnosti. Z velké části tedy záleží na tom, co mu uživatel dovolí.
Co to má být za díru od W2000 po W7?

kde jsem udelal chybu, anebo autori IE9

To je kvůli pitomým fičurám webových stránek. Jinak chyby samozřejmě dělají, jako všichni ostatní programátoři. Podobně si ale zaviruješ počítač i prostřednictvím jiného webového prohlížeče.
Musel bys zakázat skripty, ActiveX, nepoužívat žádné doplňky a pod. Moc by sis prostě nezasurfoval
Jedna verze policejního viru byla v dynamické knihovně, která se prostřednictvím nějakého skriptu stáhla do jedné z profilových složek a spuštění si zajistila pomocí hostitelského procesu rundll a složky Spustit po startu, druhá do profilových složek nakopírovala exe soubory, které pak spouštěla prostřednictvím odkazů v registru. Tedy žádné speciální techniky. Ono už se toho zase tolik vymyslet nedá a pořádná darda přijde jen jednou za čas. Pro běžného uživatele je to ale pohroma pokaždé, s tím souhlasím.
Spousta věcí na Windows mě taky se..

[qcp]

Ale kdo spustil ten rundl nebo zapsal o registru?

Takze to nebyl bug ve flahplayeru?

Ps: pro vsechny linuxky, activex musi povolit user, nemuze se aktivovat samo.

[Uziv00]

Ale kdo spustil ten rundl nebo zapsal o registru?

Ty. Tím, že jsi klikl na odkaz na nějakém pornu, nebo warezu.

[Lil]

já musím říct, že když jsem měla esentials tak se mi ntb jenom tak v noci spustil a jel na plný obrátky. Dala jsem ho do pryč a nasypala awgéčko. To našlo nějaké trojany (nepamatuji které) a pak už byl klid. Možná jsem neměla právě to co qcp.

[jaro3]

Mezi největší nákazy patří TDL4 , vyskytuje se ale málo.

Mezi nejčastější nákazy patří:
INF/Autorun
IFrame.B
ScrInject.B
Qhost
Sality
Conficker
Ramnit
Dorkbot
TrojanDownloader
Sirefef

[MiliNess]

TDL4 to je naprostá genialita. Evidentně to dělal profík/ci. Jeden kousek mám někde doma. Mám to místo porna
Základ je ale postavený na převratném nápadu Dereka Soedera Ryana Permeha (eEye BootRoot), aktivovat rootkit ještě před startem Windows a zavést do něj ovladač ještě před úplnou inicializací jádra.
Prostě paráda.