Page cache

Ну бывает, я не сильно печалюсь

Виндовый подход куда более прозрачен, линуксовый - поле чудес для всякой малвари =)

Виндовый подход куда более прозрачен, линуксовый - поле чудес для всякой малвари

facepalm.jpg

Не сам он, разумеется, а процесс, который его юзает. Если все так, как нам рассказали, конечно :) Надо будет протестить, будет линукс под рукой — затру какую-нибудь сошку и понаблюдаю этот треш и угар.

facepalm.jpg

Как вам сценарий: малварь запускается, расшифровывается, файл удаляется, при закрытии - шифрование другой функцией, т.е. поиск по сигнутурам/поведению обламывается =) В винде такое невозможно по определению, а линукса спасают лишь паспортные данные: «Неуловимый Джо, 22 года» =)

Давайте, интересно будет :)

В винде такое невозможно по определению

Там своих приколов хватает. Был вирь который полтора года в диком виде бегал, забыл как называется. «Где теперь твой б-г?» :)

а линукса спасают лишь паспортные данные

Линукс спасает политика установки ПО.

В винде такое невозможно по определению

Хотел сказать «ты лжешь», но потом понял, что ты всего лишь некомпетентен. Более того, у тебя проблемы с чтением - даже в этом топике приведен способ, которым можно реализовать такое поведение.

Был вирь который полтора года в диком виде бегал, забыл как называется. «Где теперь твой б-г?» :)

На каждого найдётся свой моррис =)

Линукс спасает политика установки ПО

Т.е. сугубо организационный момент, к архитектуре никакого отношения не имеющий =)

Хотел сказать «ты лжешь», но потом понял, что ты всего лишь некомпетентен. Более того, у тебя проблемы с чтением - даже в этом топике приведен способ, которым можно реализовать такое поведение.

Сказать «ты м*дак» и послать искать ссылку среди мусора - много ума не нужно. Но я всё-же надеюсь, что он (ум, ну и хоть какие-то остатки вежливости) у вас есть и вы мне ссылку на это (переименование/удиление екзешника во время выполнения) таки дадите =)

Сказать «ты м*дак» и послать искать ссылку среди мусора - много ума не нужно.

Меньше апломба - может, к тебе будут относиться по-другому.

вы мне ссылку на это (переименование/удиление екзешника во время выполнения) таки дадите =)

На переименование экзешника - не дам, конечно, потому что я о нем не говорил. На то, как реализовать описанное тобой поведение: Page cache (комментарий) Page cache (комментарий)

Впрочем... даже этой магии не нужно - малварь запускается, расшифровывается, работает, перед закрытием шифруется другой функцией в другой файл, и запускает этот новый файл с опцией «через одну секунду удали старый файл».

Меньше апломба - может, к тебе будут относиться по-другому

С каких пор о себе - во множественном числе? =)

На переименование экзешника - не дам, конечно, потому что я о нем не говорил. На то, как реализовать описанное тобой поведение

Ну давай посмотрим, что ты и в ответ на что говорил:

Виндовый подход куда более прозрачен, линуксовый - поле чудес для всякой малвари

facepalm.jpg

Теперь посмотрим на программную часть: можно это (удаление работающего экзешника) реализовать в винде _программно_ без костылей с созданием процессов? Нет, система не даст. В линуксе можно? Да.

малварь запускается, расшифровывается, работает, перед закрытием шифруется другой функцией в другой файл, и запускает этот новый файл с опцией «через одну секунду удали старый файл».

Во-первых, это не удаление работающего екзешника. Во-вторых, изменение имени ведёт к неработоспособности, если оно где-то зарегистрировано. И вещи вроде CreateProcess и файловые операции над экзешниками с высокой энтропией очень сильно палятся

Ты споришь из-за какой-то фигни. Как раз это свойство очень полезное. Мне много раз в администрировании помогало то что в линуксе практически нет обязательных блокировок. Например, можно обновлять систему на лету (кроме ядра, увы). Можно даже запустить mc, из-под него снести корень и залить новый (я так с убунты на арчик мигрировал, например).

А малварь... В винде оно тоже может быть только в памяти:

Dropper A dropper is a carrier file that installs a virus on a computer system. Virus authors often use droppers to shield their viruses from anti-virus software. The term injector often refers to a dropper that installs a virus only in memory.

(c) http://home.mcafee.com/virusinfo/glossary?ctst=1

Меньше апломба - может, к тебе будут относиться по-другому

С каких пор о себе - во множественном числе? =)

Мое мнение разделяет как минимум один человек, так что всё нормально.

это не удаление работающего екзешника

Еще раз - ты говорил о «поле чудес для малвари», так вот венда со всеми своими прозрачными подходами - не худшее поле. Ну а в реальности - так и гораздо лучшее.

файловые операции над экзешниками с высокой энтропией очень сильно палятся

Файловых операций в венде будет столько же, сколько в Linux. Добавляется только CreateProcess.

Ну а в реальности - так и гораздо лучшее.

На то - много причин, от обсуждаемых особенностей работы VMM не зависящих

Файловых операций в венде будет столько же, сколько в Linux. Добавляется только CreateProcess.

Да ну? =) Вот в линуксе: unlink, open, write, close в самой малвари и только над файлом самой малвари, а в винде? Огласите последовательность, оценим уже вашу компетенцию =)

Вот в линуксе: unlink, open, write, close в самой малвари и только над файлом самой малвари

Над двумя файлами малвари.

Огласите последовательность

Да не вопрос: open, write, close, CreateProcess, unlink.

оценим уже вашу компетенцию =)

Ахаха. Ну давай, оцени.

Как раз это свойство очень полезное.

Это пока им никто особо не злоупотребляет, пока =)

В винде оно тоже может быть только в памяти

У малвари всегда есть носитель, т.к. те же инжекторы откуда-то запускаться должны ;-)

Над двумя файлами малвари.

Да ну? =)

// компилируем как a.out и запускаем
#include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>

int main( void )
{
  int fd;
  unlink( "./a.out" );
  fd = open( "./a.out", O_RDWR | O_CREAT );
  if ( fd == -1 )
  {
	printf( "error\n" );
	return 1;
  }
  while( 1 )
  {

  }
}

Да не вопрос: open, write, close, CreateProcess, unlink

Ага, только open(create) уже с другим именем файла, т.е превед автозагрузка =)

Ахаха. Ну давай, оцени.

Знания по винде - близки к нулю

Над двумя файлами малвари.

Да ну? =)

Ну да. Похоже, ты не понимаешь, что unlink у тебя - это операция над первым, open (и отсуствующие в твоем примере write и close) - над вторым; оба файла существуют одновременно.

Ага, только open(create) уже с другим именем файла, т.е превед автозагрузка =)

Ты просил последовательность? Я ее дал.

Знания по винде - близки к нулю

«Я знал, что ты скажешь это» (ц) Но я всё равно очень расстроился, да-да.

Отберите LOR у ПТУшных эникейщиков, он от них тупеет.

Это пока им никто особо не злоупотребляет

Злоупотребляют, ещё как. Когда я админом работал скриптов которые себя копировали в /tmp, запускали и удаляли хватало. Я даже пытался через /proc/kcore извлекать исходники. Не помню чем закончилось, возможно, ничем.

У малвари всегда есть носитель, т.к. те же инжекторы откуда-то запускаться должны

Запустился и стёрся.

В общем, я призываю к разуму — не даёт эта фигня конкурентных преимуществ вендам. Моё мнение — наоборот осложняет администрирование.

Ну да. Похоже, ты не понимаешь, что unlink у тебя - это операция над первым, open (и отсуствующие в твоем примере write и close) - над вторым; оба файла существуют одновременно

Да, существующий оно не даст открыть на rw. Но мы смотрим со стороны VFS/ав-сканеров и всех остальных userspace утилит, которые в данном случае пролетают =)

Ты просил последовательность? Я ее дал.

На удаление запущенного приложения? За воображение - пять, за результат - кол =)

Запустился и стёрся.

Повторюсь: это можно лишь в линуксе, а винде - только через костыли с CreateProcess и кучей обязательных действий. Можно также извратиться с WriteProcessMemory жертвы, только не особо умные ав начинают орать лишь увидев эту функцию в импорте, а более-менее приличные - отключают все оптимизации в эмуляторах и разбирают образ что называется «по косточкам». Лучше - инжект через mmap, только винде на диске отображаемый образ палится, а в линуксе - нет =)

В общем, я призываю к разуму — не даёт эта фигня конкурентных преимуществ вендам. Моё мнение — наоборот осложняет администрирование.

Конкурентное преимущество винды в другом: в стабильных ABI/API, слое совместимости и тоннах документации с примерами

Но мы смотрим со стороны VFS/ав-сканеров и всех остальных userspace утилит, которые в данном случае пролетают =)

Что такое, ты уже посмотрел на результат inotify?

Ты просил последовательность? Я ее дал.

На удаление запущенного приложения?

На реализацию описанного тобой же сценария.

За воображение - пять, за результат - кол =)

Что ты делаешь, прекрати, я же весь на слезы изойду.

всю жизнь знал, что главная беда линукса - в ламерах виндовозных, у которых млять указательный палец к мышке прирос... за*бали уже...

На 9х виндах можно было format c:\ прям из винды сделать)

Что такое, ты уже посмотрел на результат inotify?

Зачем?

На реализацию описанного тобой же сценария.

малварь запускается, расшифровывается, файл удаляется

В винде такой сценарий не работает, точка. Дополнительные костыли вроде: создание бат-файлов с задержной выполнения, CreateProcess с последующими переименованиями и пр. сводят на нет всю скрытность, поэтому низачот, по определению

Что ты делаешь, прекрати, я же весь на слезы изойду

Это полезно, меньше в.веществ в организме будет =)

всю жизнь знал, что главная беда линукса - в ламерах виндовозных, у которых млять указательный палец к мышке прирос... за*бали уже...

перефразирую: плохому линуксоиду яйца виндузятника мешают

Что такое, ты уже посмотрел на результат inotify?

Зачем?

Ну после того, как ты сказал:

frame> мы смотрим со стороны VFS/ав-сканеров и всех остальных userspace утилит

Я подумал - вдруг ты действительно смотришь?

создание бат-файлов с задержной выполнения

facepalm.mkv.gz (4.7G)

И эти эти люди ставят оценки другим. Не позорься, «специалист».

перефразирую: ты далпайоп.

винде - только через костыли

Это либо возможно, либо нет. Раз можно то и разницы особой нет, уж вирусописатели как-нить осилят.

в стабильных ABI/API, слое совместимости и тоннах документации с примерами

Всё это бесполезно когда Кто тут говорил про «работает из коробки» :P

Я подумал - вдруг ты действительно смотришь?

Шутку оценил

facepalm.mkv.gz (4.7G)

Да, так Бабушкин шутил =)

И эти эти люди ставят оценки другим. Не позорься, «специалист».

«Позориться» перед такими линукс-икспердами не считаю зазорным =)
И в который раз спрошу: когда же мы увидим метод удаления работающего бинарника под виндой в твоём исполнении (специально жирным выделил, чтоб ты связь с тредом не терял), а? =)

перефразирую: ты далпайоп

да это он, самое время заполнить =)

Это либо возможно, либо нет. Раз можно то и разницы особой нет, уж вирусописатели как-нить осилят.

Только вот эту поделие никто не купит, т.к. палиться оно будет по определению. Т.е. вариант «делаю через ж*пу, главное возможность» годится разве что для аргументации в этом треде =)

Всё это бесполезно когда Кто тут говорил про «работает из коробки» :P
Нахожу IE9 на одном из компов с WinXP

"...Идёт направо - песнь заводит,
Налево - сказку говорит.
Там чудеса: там леший бродит,
Русалка на ветвях сидит..."

:-D

И в который раз спрош

В который раз поставь мне «низачот» - и тебе приятнее, и мне проще.

«Позориться» перед такими линукс-икспердами не считаю зазорным =)

Ты позоришься перед любым, кто дал себе труд прочитать тред.

вариант «делаю через ж*пу, главное возможность» годится разве что для аргументации в этом треде

Тем временем так работают все «нормальные» вирусы. Или ты думаешь что, скажем, уворачиваться от антивируса можно стандартными, предусмотренными в ОС средствами?

Так что ж ты незаполненный выложил?

В который раз поставь мне «низачот» - и тебе приятнее, и мне проще

Нет, будешь ходить до посинения, пока до уровня анонима не скатишься =)

Ты позоришься перед любым, кто дал себе труд прочитать тред.

Свои ошибки я признаю, а ты метод удаления работающего бинарника так и не предоставил, какая досада =)

Свои ошибки я признаю

Бугага.

Свои ошибки я признаю

а ВОТ В ЛИНУКСЕ ЗАПУЩЕННЫЙ ФАЙЛ УДАЛИТЬ МОЖНО, Т.К. ОН ПОЛНОСТЬЮ В ПАМЯТИ (ПРЕВЕД)

АХАХА УХАХА.

Тем временем так работают все «нормальные» вирусы.

Ну пример, самого ходового? :)

Или ты думаешь что, скажем, уворачиваться от антивируса можно стандартными, предусмотренными в ОС средствами?

Не можно, а нужно, и все так делают, и даже больше: «ручная» загрузка малвари без использования характерных сист. вызовов - обычная практика, т.к. создание дополнительных процессов, ненужные манипуляции с ФС это практически 100%-е обнаружение

Специалист по малвари в треде, все в чемодан.

Специалист, который не знает, как работает виртуальная память. Лол.

обтекай и форму заполняй потихоньку, блондинко =)

О, появился специалист, который знает =) Может хоть ты мне вместо tailgunner скажешь, как удалить работающий бинарник под виндой? =)

Бугага.

Какой-то грустный клоун, уходи

Да, оставь за собой последнее слово :)

Я возлагаю надежды на анонимуса, может хоть он ответит на мой вопрос =)

Я уже не понимаю о чём спор. Ты сравниваешь незащищённый линукс с виндой и антивирусом?

Хочешь прикрыть задницу под линем — selinux/apparmor и плакали вирусы. Не, ну иногда и selinux обдуривают, но идеальной защиты для таких сложных ОС как винда или линух не бывает.

В чем вопрос-то? Как сделать самоудаляющийся бинарник под виндой? Ну забей вопрос в гугл, есть же способы. Или ты хочешь чтобы тебе написали как, а ты такой «нет, я спрашивал как удалить чтоб еще и антивирус не сработал», да?

Ты сравниваешь незащищённый линукс с виндой и антивирусом?

Я сравниваю возможности по скрытию малвари, в линуксе их больше, по крайней мере на одну =)

Хочешь прикрыть задницу под линем — selinux/apparmor и плакали вирусы

Это закручивание гаек для всех, не каждый согласится ежедневно носить бронежилет