Здравствуйте, мыщъх, Вы писали:

М>поругать тоже полезно бывает, а еще полезнее указать на ошибки.

Я знаю о таком способе учиться. Но мне кажется, что это должен делать читатель, а не автор. С другой стороны, только на ошибках и можно реально чему-то научиться, по-моему. Получается, читателю даётся возможность учиться "как умному" — на твоих.

М>вы меня ни с кем не путаете?

Нет.

М> за всю жизнь перевел только один цикл статей от орка, который запостил в фидо лет десять тому назад.

Как насчёт статьи f0dder о вреде пакеров?

М>надеюсь, что новая работа оказалась более интересной

Иначе б она стала старой Дело в том, что мне после школы какой-то умник объяснил, что на ассемблере никто не пишет, а религия в то время не позволяла вообще под писюк писать, тем более на других языках поэтому я прошел путь от ремонтника чайников до собственного компьютерного магазина, где от скуки и начал читать твою книгу Потом, по кивордам ассемблер x86, нагуглил у Z0MBiE разбор ошибок эмуляции инструкций деления 2мя известными антивирусами и понял, что рынок по факту пуст, покупают что есть. В общем, если хочешь сделать что-то хорошо, делай это сам.

М>на васме в хипе я уже всем надоел, а тут еще нет

Там писать — всё равно что в урну, хоть и не сразу. Хотя урна есть как раз здесь — для хранения удалённых сообщений.

М>а зачем мне на нее обижаться? это ж для здоровья вредно и вообще. лучше с ерунды прикалываться.

Снимаю шляпу перед твоими комментариями к БХЦ-профаелу Однако все мы люди, здесь не всегда так получается. Ну и народу интересно встрять — "опа, а я-то самого КК опустил!"

М>я нарушаю правила форума? гм. это для меня новость.

В них не рекомендуют писать с маленькой буквы В общем-то не зря — здесь вызвало дополнительный флуд.

Здравствуйте, gear nuke, Вы писали:

U_E>>хм, а я помню, что именно по статьям касперского начал изучать, что к чему в защитах exe-шников и т.д., и эти знания в итоге привели к созданию нескольких очень даже неплохих продуктов.

GN>А почему тогда пакер на стороне заказывал?

откровенно говоря, часто покупаю готовые решения; когда заказывал, был уверен, что у многих есть наработки. и не прогадал, кстати

Здравствуйте, gear nuke, Вы писали:

М>> поругать тоже полезно бывает, а еще полезнее указать на ошибки.
GN> Я знаю о таком способе учиться. Но мне кажется, что это должен делать читатель, а не автор.
читатель, конечно. указывать автору на косяки. кстати, волна критики сама по себе показательна и позитивна. потому как если бы не нравилось и не цепляло, то никто бы ничего и не критиковал. так что обижаться на критику ИМХО по любому глупо.

GN> С другой стороны, только на ошибках и можно реально чему-то научиться, по-моему.
ошибки они разные бывают. если ошибка не ушла в релиз или печатный пресс, то это нормально. а вот если ушла, то это плохо, потому как хадверные копии ни хвоста не фиксятся и ошибки там живут очччень долго.

М>> за всю жизнь перевел только один цикл статей от орка, который запостил в фидо лет десять тому назад.
GN> Как насчёт статьи f0dder о вреде пакеров?
статью о вреде пакеров писал сам. это не перевод и не компиляция. кстати, попытки написать "безввредный" пакер привели к созданию системно-независимой тулзы позволяющий запущенному exe писать в себя. код написанный для 98 работает и на висте. хотя вызывает недовольство многих аверов и фаеров. ну оно и понятно. exe изменяется. а это им не нравится. попытка обойти аверы опять-таки получила развитие в виде стелс-вирусов, которые антивирус может обнаружить в памяти, но где они находятся на диске — это тайна. операционная система даже на уровне native API этого аверу не скажет. не говоря уже про win32 api. и это так же портабельно. код написанный для w2k дружит с вислой. как только обнаружу "противоядие" протв этой технологии — обязательно обнародую. а то пока получается не очень красиво. код из нескольких строк прячет файл так, что найти его нереально, потому как операционная система не говорят путь. точнее она говорит путь к файлу, но это неправильный путь. там нашего файла нет. и там может быть все что угодно. например, KERNEL32.dll, попытка удаления которой (что с правами аверя делается на раз два три) приводит к удивлению юзера: а почему мы не грузимся?!

GN> Дело в том, что мне после школы какой-то умник объяснил, что на ассемблере никто не пишет,
а разве на асме кто-то что-то еще пишет? отдельные модули — это да, с этим никто и не спорит. ассемблерными вставками тоже никого не удивишь, но в целом, проекты, написанные на ассембере, это чисто учебные проекты.

GN> Потом, по кивордам ассемблер x86, нагуглил у Z0MBiE разбор ошибок эмуляции инструкций деления
GN> 2мя известными антивирусами и понял, что рынок по факту пуст, покупают что есть.
там и не только деление. я как-то тестировал антивирусные эмуляторы. нашел такое кол-во ошибок, что вообще не понял, каким местом они писаны. но вообще-то со своей задачей эмуляторы справляются. во всяком случае, известные вирусы детектят неплохо, хотя опять-таки если начать серьезно их тестировать, то выясняется, что детектятся не все зараженные файлы. куча файлов с нетривальной структорой (имеющей место быть в защитах) зачастую корректо заражаются вирусом, но обламывают аверь. при отсылке баг репорта аверисты часто отвечают: что за хрю вы нам прислали? такой файл (согласно спецификации ms) вообще не должен запускаться и хр знает как он вообще работает. типа — заражайте _нормальные_ файлы и все будет ништяк.

а рынок (антивирусов) сейчас переполнен. антивирусов много. хороших из них... ну я таких не знаю.


GN> Снимаю шляпу перед твоими комментариями к БХЦ-профаелу
кто такой? почему не знаю?

GN> Ну и народу интересно встрять — "опа, а я-то самого КК опустил!"
между прочим перепалка на конференциях очень сильно помогает в реальной жизни. заказчикам тоже быват интересно "опустить", ну чтобы сбить цену, например. и ответный наезд на заказчика только усугубляет ситуацию. и тут надо как-то незаметно для заказчика перевести разговор в русло позитивной плоскости. а как его перевести — этому и можно научиться на форумах.

GN> В них не рекомендуют писать с маленькой буквы
этот пунк я как-то упустил, каюсь. Буду Теперь Писать Каждое Слово С Большой Буквы!

М>Jenogmarimnida? Meorago malsseum hasyeosseumnikka? Dasi hanbeon malsseumhae jusipsiyo.
М>сорри за мой плохой английский

Да, как-то не очень понятно выражаешься

Здравствуйте, мыщъх, Вы писали:

М>>> поругать тоже полезно бывает, а еще полезнее указать на ошибки.
GN>> Я знаю о таком способе учиться. Но мне кажется, что это должен делать читатель, а не автор.
М>читатель, конечно. указывать автору на косяки.

Переформулирую вопрос: читатель должен купить книгу и научить автора? Я помню, после одной такой учебы, из первой книги исчезла целая глава.

М>статью о вреде пакеров писал сам. это не перевод и не компиляция.

Как объяснить близкое сходство (которое видно не только мне) с более ранним вариантом от f0dder?

М>кстати, попытки написать "безввредный" пакер привели к созданию системно-независимой тулзы позволяющий запущенному exe писать в себя.
[...]

Я ничего из дальнейшего не понял, какой такой файл с путём к другому файлу? если речь о вирусе, то обособленного файла с телом не будет по определению.

М>а разве на асме кто-то что-то еще пишет?

Конечно пишут, на С и на С++ много пишут Знание требуется.

М>а рынок (антивирусов) сейчас переполнен. антивирусов много. хороших из них... ну я таких не знаю.

Да в том-то и дело, что софта с лейблом "антивирус" полно, однако практически все нарушают например ст 10.1 ЗЗПП РФ. Сейчас пока всё довольно мутно и с натяжками, потребитель тёмный, но как только кто-то научится извлекать из этого выгоду — закон пролоббируют, как было с молоком.

GN>> Снимаю шляпу перед твоими комментариями к БХЦ-профаелу
М>кто такой? почему не знаю?

Знаешь, Buggers-Hukkers Crew, они 15 лет были в тени пока не вышли пороть правду-матку

М>и тут надо как-то незаметно для заказчика перевести разговор в русло позитивной плоскости. а как его перевести — этому и можно научиться на форумах.

Хорошо заметно по твоим постам

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>откровенно говоря, часто покупаю готовые решения; когда заказывал, был уверен, что у многих есть наработки. и не прогадал, кстати

Это конечно радует, что ты пока не знаешь, что цена багфиксинга ASAP (а багов наверняка есть не менее 2х) может превзойти начальные вложения, но к моему вопросу отношения не имеет Сам ведь научился по статьям. Зачем рисковать с неэксклюзивным кодом, мало ли кто и где еще его используют.

Здравствуйте, gear nuke, Вы писали:

GN>Это конечно радует, что ты пока не знаешь, что цена багфиксинга ASAP (а багов наверняка есть не менее 2х) может превзойти начальные вложения,

знаю, только к моменту исправлений у меня уже, допустим, достаточный уровень продаж, чтобы переписать любую часть продукта.

а если продаж нету, то проект просто закрывается. это же... как его... бизнес.

GN>но к моему вопросу отношения не имеет Сам ведь научился по статьям. Зачем рисковать с неэксклюзивным кодом, мало ли кто и где еще его используют.

ну просто одни пишут код, другие продают, третьи придумывают, чего бы такое продать. думаю, я все делаю правильно

если бы я сам сел писать пакер, я бы его, наверное, до сих пор писал, а так уже очередной продукт скоро войдет в строй.

Здравствуйте, Evgolas, Вы писали:

E>Я встречался с довольно высокопоставленными в России людьми, но смысла писать об этом не вижу

Но, несмотря на это, написал.

Здравствуйте, gear nuke, Вы писали:

GN> Переформулирую вопрос: читатель должен купить книгу и научить автора?
такие читателей меньше чем сублезовых тигров. но они таки есть. каждый на вес золота. что же касается "купить", то можно и электронный вариант скачать. на любителя.

GN> Я помню, после одной такой учебы, из первой книги исчезла целая глава.
это верно. потому что там было очень мнгого косяков и править их означало все писать с нуля. к томуже в еррате косяки разъяснили


М>>статью о вреде пакеров писал сам. это не перевод и не компиляция.
GN>Как объяснить близкое сходство (которое видно не только мне) с более ранним вариантом от f0dder?
без понятия. реферативные статьи у меня встречатся, но внизу честно идет список ссылок, которые использовались при подготовке статьи.

GN>Я ничего из дальнейшего не понял, какой такой файл с путём к другому файлу?
файл один. допустим, myfile.exe, запускаем этот файл на выполнение и пытаемся теперь что-то записать в него штатными средствами оси. ну чтобы дисковые сканеры не обнаружили. типа выкинуть оттуда вирусный код. на время а потом снова засадить. или заразить уже запущенное приложение типа проводника. на много что можно чего в файл писать.

а вот как прятать файл на диске, так чтобы обнаружив процесс в прямяти (запущенный штатными средствами из проводника илм фара или автозагрузки) не даать системе выдать имя модуля и путь к нему. к чему это приводит — ежу понятно. процесс виден, а где его файл — хз. причем файл таки на диске, а не в памяти


GN> Да в том-то и дело, что софта с лейблом "антивирус" полно,
GN> однако практически все нарушают например ст 10.1 ЗЗПП РФ.
что за пункт? лень гуглить...

GN>Знаешь, Buggers-Hukkers Crew, они 15 лет были в тени пока не вышли пороть правду-матку
все равно что-то не всмонитается.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>если бы я сам сел писать пакер, я бы его, наверное, до сих пор писал, а так уже очередной продукт скоро войдет в строй.

Спасибо, вопрос исчерпан. Без этого уточнения фразу "знания в итоге привели к созданию" можно очень по-разному понимать

Здравствуйте, мыщъх, Вы писали:

GN>> Переформулирую вопрос: читатель должен купить книгу и научить автора?
М>такие читателей меньше чем сублезовых тигров. но они таки есть. каждый на вес золота.

То есть, действительно, ради таких вот "на вес золота" читателей всё и затевалось?

GN>>Я ничего из дальнейшего не понял, какой такой файл с путём к другому файлу?
М>файл один. допустим, myfile.exe, запускаем этот файл на выполнение и пытаемся теперь что-то записать в него штатными средствами оси. ну чтобы дисковые сканеры не обнаружили. типа выкинуть оттуда вирусный код. на время а потом снова засадить. или заразить уже запущенное приложение типа проводника. на много что можно чего в файл писать.



М>а вот как прятать файл на диске, так чтобы обнаружив процесс в прямяти (запущенный штатными средствами из проводника илм фара или автозагрузки) не даать системе выдать имя модуля и путь к нему. к чему это приводит — ежу понятно. процесс виден, а где его файл — хз. причем файл таки на диске, а не в памяти

Я не ёж, и мне не понятно многое. Итак, если процесс создан как ты называешь "стандартными средствами", значит есть секция, и есть файл на диске. Имя этого файла приходит в нотификатор еще в процессе создания процесса. И его никуда не денешь. Поэтому предлагаю не заниматься ерундой вроде "ой, обнаружили процесс в памяти, что же делать?", а для начала разобраться в причинно-следственных связях, а потом только браться за дизайн.

Вообще, будучи написанным не в тему, похоже на очередную твою утку. А в реале малвара давно уже dll качает с серверов и на диске не хранит.

GN>> Да в том-то и дело, что софта с лейблом "антивирус" полно,
GN>> однако практически все нарушают например ст 10.1 ЗЗПП РФ.
М>что за пункт? лень гуглить...

А не лень подумать, что читатель — потребитель товара?! Пункт о "несоответствии заявленным характеристикам", кстати

Здравствуйте, gear nuke, Вы писали:

GN>Спасибо, вопрос исчерпан. Без этого уточнения фразу "знания в итоге привели к созданию" можно очень по-разному понимать



ммм, я там имел в виду дела давно минувших дней, когда я сам все делал полностью.

Здравствуйте, gear nuke, Вы писали:

GN>Я не ёж, и мне не понятно многое. Итак, если процесс создан как ты называешь "стандартными средствами",
CreateProcess, например.

> значит есть секция, и есть файл на диске.
вопрос в том, где этот файл

> Имя этого файла приходит в нотификатор еще в процессе создания процесса.
это уже проактивка. а если зловредный процесс был запущен до запуска антивируса?
сканирование в памяти ничего не даст. то есть в памяти его найти можно, но не на диске

> Поэтому предлагаю не заниматься ерундой вроде "ой, обнаружили процесс в памяти, что же делать?",
> а для начала разобраться в причинно-следственных связях, а потом только браться за дизайн.
хорошо, давай ты напишешь (покажешь уже существующую) утилиту, выдающую список запущенных процов
вместе с путями к исполняеым файлам. а потом попробуешь найти файл моего процесса
мой процесс работает на ring-3, не пользует nativeAPI, не нуждается в правах админа,
а ты можешь искать его хоть с ядра. скажем, заюзать под этот дело soft-ice или еше что.
попробуй его найти

GN> Вообще, будучи написанным не в тему, похоже на очередную твою утку.
GN> А в реале малвара давно уже dll качает с серверов и на диске не хранит.
ты пробовал удалять загруженную dll с диска?

GN> А не лень подумать, что читатель — потребитель товара?!
GN> Пункт о "несоответствии заявленным характеристикам", кстати

Здравствуйте, мыщъх, Вы писали:

М>мой процесс работает на ring-3, не пользует nativeAPI, не нуждается в правах админа,
Гм. Интересно, а можно и мне кинуть посмотреть?

Здравствуйте, мыщъх, Вы писали:

М>хорошо, давай ты напишешь (покажешь уже существующую) утилиту, выдающую список запущенных процов
М>вместе с путями к исполняеым файлам. а потом попробуешь найти файл моего процесса ;)

/proc/*/exe. Что может быть проще?

Здравствуйте, мыщъх, Вы писали:

М>CreateProcess, например.

>> значит есть секция, и есть файл на диске.
М>вопрос в том, где этот файл

>> Имя этого файла приходит в нотификатор еще в процессе создания процесса.
М>это уже проактивка.

Это десткий сад.

Метод гарантированно детектирует твоё изобретение, поэтому давай назовём его метерным словом и дисквалифицируем? Отнюдь, кастомерам интересно решение проблемы, а не как оно научно называется.

М> а если зловредный процесс был запущен до запуска антивируса?

Значит делаем ребут и полностью излечиваем хост. Правильно?

М>сканирование в памяти ничего не даст. то есть в памяти его найти можно, но не на диске

Отлично, ищем процессы без файла на диске, помечаем их как скрытые и завершаем.

М>хорошо, давай ты напишешь (покажешь уже существующую) утилиту, выдающую список запущенных процов
М>вместе с путями к исполняеым файлам. а потом попробуешь найти файл моего процесса

Если готов дать файл — пиши сразу алгоритм, не отнимай время понапрасну

М>мой процесс работает на ring-3, не пользует nativeAPI, не нуждается в правах админа,
М>а ты можешь искать его хоть с ядра. скажем, заюзать под этот дело soft-ice или еше что.
М>попробуй его найти

Алгоритм выше. Кстати уточню — он увидит, что запускается calc.exe, но не даст гарантий, что промапленный имидж соответствует оригиналу, а не модифицирован перед исполнением процессом-родителем. Это отдельный вектор атаки.

М>ты пробовал удалять загруженную dll с диска?

Не вижу проблем, в случае необходимости пишется свой загрузчик.

Крис, твоё представление об индустрии отстает лет эдак на 5. Я уже не вспомню, когда видел малвару имеющую такой тяжелый объект как процесс, разве что загадочно-дебильный penetrator Зато помню весёлый "руткит" ascesso который прятал тело драйвера, удаляя файл У меня на детектор (заодно с остальным популярным в то время зоопарком) ушло 1К строк

Автор: gear nuke
Дата: 11.11.07

. В отличие от остальных отмеченных в этой теме на sysinternals, кто вот так же говорил "это уже проактивка".

То есть, твой хитрый метод может быть и полезен для пакера, или еще где-то, но вот так пафосно писать о его "стелс-вирусности" не стоит, практической опасности он вряд ли несёт, а какие-нибудь глупые ликтесты могут появиться.