Page cache

Как сделать самоудаляющийся бинарник под виндой?

Я жирным выделял не раз, увидишь если со зрением всё в порядке

Я сравниваю возможности по скрытию малвари, в линуксе их больше, по крайней мере на одну

Не, это не аргумент. Прошу предоставить все способы сокрытия в линухе и в винде, вот тогда и обсудим что дырявее.

Куда хуже то что процесс может себя переименовать. Вот это жопа. Но хоть /proc/self/exe продолжает указывать на старое место. Кстати, так можно легко вычислить троянцев которые себя удаляют. Ну или то что для скриптов будет указан путь к интерпретатору, хотя лучше бы был путь скрипту. Вот это действительно ппц.

Он хочет, чтобы ему написали точно так же, как в Linux. Наверное, его даже трюк с DLL не устроит.

Я рад что ты признал, что в винде это как в линуксе сделать нельзя, - лучше поздно, чем никогда, как говорится =)

P.S.: не нервничай, всё будет хорошо =)

P.S.: не нервничай, всё будет хорошо =)

У меня и сейчас всё хорошо. А вот у тебя свербит, раз полез удаленные читать %)

Не, это не аргумент. Прошу предоставить все способы сокрытия в линухе и в винде, вот тогда и обсудим что дырявее.

В винде аргументов не нужно: удалить файл нельзя. Для линукса фрагмент кода я приводил, нужно лишь получить дескриптор до удаления, а дальше - read, close, unlink, open(create),write,close - и всё это без создания доп.процессов и других грязных хаков

Куда хуже то что процесс может себя переименовать. Вот это жопа.

Угу, авторан/регистрация слетит, поэтому такого никто в здравом уме делать не будет

Но хоть /proc/self/exe продолжает указывать на старое место. Кстати, так можно легко вычислить троянцев которые себя удаляют.

Посмотри мой пример - создаётся пустой файл с тем же именем

У меня и сейчас всё хорошо. А вот у тебя свербит, раз полез удаленные читать %)

Бгг, расскажи =) Я вообще-то ответ нажал, превью, а тут на тебе - нельзя отвечать на удалённые =)

Угу, авторан/регистрация слетит, поэтому такого никто в здравом уме делать не будет

Я не понял при чём тут авторан, но троянцы себя часто переименовывают в какой-нить sshd или httpd.

Если ты про то что вирус не переживёт ребут, так это для серверов не проблема. Даже домашние вири так делают (сужу по пиар-новостям от касперского).

создаётся пустой файл с тем же именем

Не понимаю какие выводы я из этого должен делать.

Если ты про то что вирус не переживёт ребут, так это для серверов не проблема.

Хорошо жить в мире оптимистических допущений, только вот в реальности выигрывает тот, кто также думает про else =) И касперский тут лишь один из популярных, но далеко не самый лучший

Не понимаю какие выводы я из этого должен делать.

Простого скана по директориям в линуксе может быть недостаточно для обнаружения малвари, в отличии от винды

Хорошо жить в мире оптимистических допущений

Никакой связи с оптимизмом, это одна из стратегий линуксовых троянов которая доказала свою работоспособность. Ты сейчас логическими рассуждениями доказываешь что эта схема неработоспособна? Она работоспособна, подтверждено практикой. Я ещё ничего в этом треде не сказал с т.з. теории. Всё из практики.

выигрывает тот, кто также думает про else

Именно об этом и речь. Трояна сложнее обноружить если он не оставляет следов на диске.

И касперский тут лишь один из популярных, но далеко не самый лучший

Конкретный антивирус тут ни при чём.

Простого скана по директориям в линуксе может быть недостаточно для обнаружения малвари, в отличии от винды

И для винды тоже. По тем же причинам.

Ты сейчас логическими рассуждениями доказываешь что эта схема неработоспособна? Она работоспособна, подтверждено практикой.

Эта «практика» целиком и полностью подчиняется законам старения аккумуляторов в бесперебойниках (если они вообще присутствуют). Годами не обновляются/перегружаются лишь огороженные от внешнего мира (либо функционально урезанные) серверы, которые потому никому и не интересны =)

Трояна сложнее обноружить если он не оставляет следов на диске.

да, это «плюс» линуксу =)

Конкретный антивирус тут ни при чём.

Ну конечно, и обзоры ты с забора читаешь =)

И для винды тоже. По тем же причинам.

Да ну? И как мне в винде удалить из директории работающий екзешник? =)

Годами не обновляются/перегружаются лишь огороженные от внешнего мира (либо функционально урезанные) серверы, которые потому никому и не интересны =)

Дело не в этом. Если сервак заразили один раз, то заразят и второй раз после ребута. Огороженность тут вообще ни при чём. Плохо настроенных серваков гораздо больше чем нормальных.

как мне в винде удалить из директории работающий екзешник?

Выше я же приводил ссылки на инструменты.

то заразят и второй раз после ребута.

Не факт, т.к. перегружаться он может и после обновления =)

Выше я же приводил ссылки на инструменты.

Я выделю вопрос ещё раз жирным шрифтом: как в винде удалить из директории работающий екзешник? Для линукса я даже исходник привёл, - где аналогичный виндовый?

Не факт, т.к. перегружаться он может и после обновления =)

Есть целые ботнеты на безфайловых троянах. На этом я считаю доказанным и обоснованным такой подход. Пожалуйста, не пиши на тему «это неработающий подход», «это неэффективно» итп. Это уже работает, это уже используется.

как в винде удалить из директории работающий екзешник?

http://www.catch22.net/tuts/self-deleting-executables

Есть целые ботнеты на безфайловых троянах.

пруфлинк хотя бы на описание будет?

http://www.catch22.net/tuts/self-deleting-executables

А я ещё раз задам вопрос, особо выделив ключевое слово, т.к. всё по ссылке по понятным причинам не подходит: как в винде удалить из директории работающий екзешник?

пруфлинк хотя бы на описание будет?

Неа, нет времени гуглить. Я встречал как в новостях, так и в диком виде перловые скрипты которые через дыры сайта заливались в /tmp, запускались и удалялись.

всё по ссылке по понятным причинам не подходит

Я не спец в виндах, что там не так?

Кстати, как вариант, вижу что вирусы могут патчить программы в рантайме: http://en.wikipedia.org/wiki/Conficker . Соотв. оно может запуститься, пропатчить какой-то процесс в памяти и выйти. А патченый процесс удалит бинарь с диска. При этом патченый процесс остаётся. Это не то же самое что «удалить сам себя», но примерно те же яйца т.к. на диске не остаётся следов заражения.

Неа, нет времени гуглить.

Понятно, «ОБС» =)

Я не спец в виндах, что там не так?

Удаление работающего бинарника не работает, и не будет работать =)

Кстати, как вариант, вижу что вирусы могут патчить программы в рантайме: http://en.wikipedia.org/wiki/Conficker . Соотв. оно может запуститься, пропатчить какой-то процесс в памяти и выйти. А патченый процесс удалит бинарь с диска. При этом патченый процесс остаётся.

кто-то из нас двоих явно фантазирует:

В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также прописывает себя в сервисах со случайным именем, состоящим из латинских букв

ОБС

Давай без оскорблений. Я принципиально не вру, мне это не нужно. Если сказал видел — значит видел. Надо будет — напишу :)

Есла байда типа такой не работает то сдаюсь: http://www.filehippo.com/download_unlocker/

Есла байда типа такой не работает то сдаюсь

Unlocker.exe
UnlockerInject32.exe
UnlockerDriver5.sys

=)

А я ещё раз задам вопрос, особо выделив ключевое слово, т.к. всё по ссылке по понятным причинам не подходит: как в винде удалить из директории работающий екзешник?

Вопрос не мне но насколько я помню винду это не сильно сложно: вганяем эксплойт в нулевое кольцо а дальше нам никто не помешает сделать все на что хватит ума.

щас этот товарищ попросит показать рабочий код :)

гугль и мозги ему в помощь. Раньше на BugTrack-e примеры лежали но сейчас лавочку прикрыли :((((

Вопрос не мне но насколько я помню винду это не сильно сложно: вганяем эксплойт в нулевое кольцо а дальше нам никто не помешает сделать все на что хватит ума.

Ну давайте сравним: 0-day уязвимость это ~$50к + написание драйвера + написание клиента vs мой пример в 20 строчек — «А в остальном, прекрасная маркиза, всё хорошо, всё хорошо, всё хорошо...» =)

щас этот товарищ попросит показать рабочий код :)

ну естессно, теоретикам нужно почаще указывать на их место =)

~$50к + написание драйвера + написание клиента vs мой пример в 20 строчек

ты маздай с линуксом попутал. Это на линуксе такой сценарий фиг взлетит а на маздае сообразительный студент провернет в разумные сроки за разумную оплату.

ты маздай с линуксом попутал. Это на линуксе такой сценарий фиг взлетит а на маздае сообразительный студент провернет в разумные сроки за разумную оплату.

оке. способ удаления в линуксе без ring0 и костылей я показал, теперь твоя очередь для винды, иксперд. или сразу засчитаем слив (не первый, и, надо полагать, не последний в этом треде)? =)

Не спорь с ним. Под виндой готового рецепта без в свободном доступе нет. Тебе потребуется как минимум гуру виндовых потрохов чтобы это провернуть.

Это, однако, не делает винду мегазащищённой, а линух решетом.

И вообще очень жаль что это нельзя отключить в линухе. Как и смену process name. И то что /proc/self/exe указывает на интерпретатор, а не на скрипт. Всё это сильно затрудняет анализ взлома.

И вообще очень жаль что это нельзя отключить в линухе.

смонтировать файлуху RO.

Как и смену process name.

ну если сильно хочется то небольшим патчем можно запретить изменение этой области памяти но это поламает некоторые приложения которые пытаются ее изменять, например bash.

И то что /proc/self/exe указывает на интерпретатор, а не на скрипт. Всё это сильно затрудняет анализ взлома.

для этого обычно транслируют скрипты в бинарники и удаляют интерпретатор.

Не спорь с ним.

:)

Под виндой готового рецепта без в свободном доступе нет.

уже нет. ну с того времени как интернету начали закручивать гайки со всех сторон.

Тебе потребуется как минимум гуру виндовых потрохов чтобы это провернуть.

во времена XP и 2000 этого не требовалось (в отличие от линукса).

смонтировать файлуху RO.

Всегда можно найти выход. Просто хочется решать проблемы простыми путями. Но соглашусь с тем что универсальная система не может быть хорошей во всех областях.

а еще мне очень сильно в плане защищенности нравилась AFS: у нее собственная система проверки прав доступа поэтому даже получив рута злоумышленник практически ничего не сможет сделать

даже получив рута злоумышленник практически ничего не сможет сделать

AFS это Andrew File System? Получив полноценного рута (а не то урезанного каким-нить selinux) можно всё что угодно делать в пределах локальной системы.

AFS это Andrew File System?

да

Получив полноценного рута (а не то урезанного каким-нить selinux) можно всё что угодно делать в пределах локальной системы.

если ума хватит. системы на основе AFS для этого требует на порядок или несколько больше ума чем обычные системы.