Компания rarlab сменила центр сертификации

Вендопроблемы

то есть, на предприятиях админы настраивают у пользователей винду так, что запустить неподписанный exe не получится?

кошмар

и как это обойти?
есть ли какой-нибудь подписанный универсальный запускатор, который извлекает код из чужого exe и выполняет его внутри своего процесса?

есть ли какой-нибудь подписанный универсальный запускатор, который извлекает код из чужого exe и выполняет его внутри своего процесса?

Если прямо очень надо - VirtualBox, но это из пушки по воробьям, конечно.

не пойдёт
VirtualBox требует админских прав для установки
у пользователей корпоративных сетей таких прав нет

> Что интересно, после перепаковки, находящиеся внутри установочного SFX файлы уменьшились, ровно на 4 килобайта каждый

Если сделать diff между старым и новым, случайно не обнаружится та самая вирусня? :-) Шучу, конечно, но мало ли. В 00-е раром любили шифровать архивы пираты, когда на rapidshare выкладывали контент, разрезанный порциями по 100 Мб. Зашифровать раром и сейчас - очевидно и доступно, может спецслужбы заставили «закладку» вставить.

Что эта не нужная пропреитарщина делает па ЛОРе? VirusTotal всё правильно делает, WinRAR надо закапывать. Есть открытый и свободный 7-Zip.

есть ли какой-нибудь подписанный универсальный запускатор, который извлекает код из чужого exe и выполняет его внутри своего процесса?

rundll32.exe?

В 2002 или 2003 году я пробовал перейти со второго винрара на 7-zip. Я регулярно делал бэкап домашней директории на CD-RW. Директория занимала гиг, а раром успешно сжималась до нужных 650 Мб. Попробовал 7zip-ом. Начало было бодрое, потом скорость архивации уменьшалась в прогрессии, пока не падала до околонулевой отметки в середине архивации.

В общем, не перешёл я на 7-zip. Рар хоть со стабильной скоростью архивирует. Хотя может быть, это была какая-то ранняя версия 7-zip, и сейчас уже всё не так. Железо Athlon 550 MHz, 384 Mb RAM.

если винда не даёт запускать неподписанный exe, то неподписанную dll она тоже откажется загрузить
не зря же у winrar подписаны через комод и exe и dll

Нет, smartscreen и без дополнительных настроек предупредит, если посчитает, что запускается установщик, например. Точнее, без подписи появится что-то вроде того, что браузеры сейчас выдают - продолжить запуск можно, но прячут. А при проблемах с подписью и продолжить не дадут.

В винраре есть полезная штука по восстановлению. Поставил галки, и в случае потери части архива есть шанс его восстановить. Семьзип так не умеет.

И?

И админские права не дают часто.

Могут и флешки отключить, могут и время работы ограничить и так далее и тому подобное.

В винраре есть полезная штука по восстановлению. Поставил галки, и в случае потери части архива есть шанс его восстановить.

Да ерунда это всё. Итак этих контролей целостностей на разных уровнях есть. И тут ещё одну небольшую штучку, которая сработает в одном случае из тысячи — такое себе.

Пару раз у меня архивы бились на дискетах — восстановить не получилось.

Ну вот да, я ни разу ей не воспользовался :)

Кстати, 7зип некоторые вещи жмёт гораздо лучше. Например, результаты расчетов в ансисе или сфд, весящие по 50 гигов, рар ужимал до 15 на максимуме, а 7зип на ультре до 8.

Там насколько помню, у WinRar и 7-zip разница в дефолтных настройках непрерывности архива. Это сильно влияет на размер при куче мелких файлов, и ухудшает шансы на извлечение чего-нибудь при повреждении.

То есть рар лучше в этом плане, получается?

Что интересно, после перепаковки, находящиеся внутри установочного SFX файлы уменьшились, ровно на 4 килобайта каждый:

Интересно, но вряд ли это что-то вирусное, скорее всего, результат перекомпиляции с другими опциями.

А virustotal продолжает рапортовать Win.MxResIcn.Heur.Gen

Слышал байку, что сейчас для крупной пакости конкуренту можно даже новый антивирус завести, который постоянно будет, что-то обнаруживать у него.

Пару раз у меня архивы бились на дискетах — восстановить не получилось.

Давно еще с rar был опыт, что получилось восстановить. Но согласен, что это нечастно возможно по той причине, что редко бывает, чтобы побились несколько случайных байт, чаще если уже глюкнуло, то или архив окажется обрезанным по размеру или там очень большие куски, вплоть до файла целиком, будут обнуленными или с мусором.

пакуют бинарники, что в итоге всякие гамнаантивирусы их детектят как мальтварь, а потом вай нас та за што

https://habr.com/ru/post/455236/

но так как файл сильно устарел (был создан почти год назад), то у меня не сохранился исходник версии 1.6.1

Кого этот собиратель паролей пытается обмануть? В 2019 без vcs, ага, как же.

> Кстати, 7зип некоторые вещи жмёт гораздо лучше.

А ведь действительно я услышал про 7-zip в 2005 году только, когда скачал Jimm для телефона. Архив rar с Jimm занимал 6 Мб, а 7z - 1 Мб. Всё потому, что в архиве находилось много почти одинаковых jar файлов для разных производителей телефонов. 7-zip хорошо распознавал, что в разных файлах данные почти одинаковы.

Смысл этой фичи, что обойти её нельзя. Если можно, то это баг, и он исправляется.

И это хорошо, ведь она позволяет владельцу компьютера гибко настраивать политики относительно того, что может, а что не может на нём работать.

Если делать универсальный запускатор, то стоит добавить в него (возможно какой-то альтернативный) механизм проверки подписи, иначе это создаст дыру, позволяющую злоумышленнику запускать всё, что угодно. Владельцу машины такая возможность (делать что угодно без проверки) всё равно не нужна, ведь он владеет ключами, которые дают возможность изготавливать подписи.

Относительно данной темы — хотя я PKI, растянутый на весь мир в виде CA, вшитых в ОС не люблю, но работающей альтернативы (начиная от certificate pinning и заканчивая web of trust) доверия поставщику системного софта, позволяющей администраторам предприятия не слишком закапываться в свой собственный PKI, пока что нет. Буду рад, если кто-то объяснит, что я не прав и расскажет мне про такую альтернативу, пригодную как для типичного пользователя, так и для организаций.

на что намёк, на нативные троянчики в раре?

Да они просто по привычке проверяли экзешник, вылеченный кряком с рутрекера. Из русскоязычных винрар никто по-другому не юзает.

https://knowyourmeme.com/photos/426861-winrar

У него просто размер словаря больше, и в него влезали все данные.

Проверил сейчас ещё раз, MaxSecure в virustotal больше не ругается. Вот так, из-за одного идиотского false positive отзывают сертификат и создают массу ненужных проблем. При этом сертификат предназначен лишь для проверки подлинности, а не отсутствия вирусов. Но в Sectigo этого, судя по всему, не понимают.

А virustotal продолжает рапортовать Win.MxResIcn.Heur.Gen

Если не было, VirusTotal - это самый крутой, протестированый 7 лярдами людей? Зачем вообще их слушать?

Но в Sectigo этого, судя по всему, не понимают.

Судя по всему этого не понимают во всей индустрии. И решили поиграть в гарантии отсутствия вирусов через механизм подписей.

Для экосистемы винды, учитывая какой в ней сидит контингент, это не такая уж плохая идея.

Ведь зараженная программа может прилететь пользователю как? Либо это не подлинный файл а модифицированный - тогда проверка подлинности решает проблему. Либо целенаправленно автор сделал вредоносное ПО. Тогда не давать ему сертификат - и тоже решается проблема.

В чем-то этот подход даже похож на систему мейнтейнеров в линуксе - есть посредник между производителем ПО и пользователем, который проверяет. Но с одной кардинальной разницей - мейнтейнеры работают вручную, и проблемы false positive там не возникает.

Для экосистемы Винды придумали антивирусы. Цифровые подписи предназначены совсем для другого.

Пару раз у меня архивы бились на дискетах — восстановить не получилось.

у меня всё получалось и на дискетах, и в наше время на флешках (да, флешки изредка коверкают данные)
нужно не жмотиться и давать процентов 10 на избыточное кодирование (у рара для этого опция есть)

нужно не жмотиться и давать процентов 10

Ну это какая-то спецолимпиада получается. Сжимать данные, что по определению ухудшает восстановление, и добавлять информацию для восстановления на 10%, что ухудшает сжатие (увеличивает размер)

Кстати, мельком попытался найти что-то типа WinRar, чтобы без сжатия, чисто добавлять информацию для восстановления – что-то не нашёл. Ну такое себе конечно – специфичное на уровне «мне повезёт».

Смысл этой фичи, что обойти её нельзя. Если можно, то это баг, и он исправляется.

обойти её нельзя? )))
ну и как вы сможете помешать кому-то создать подписанный универсальный запускатор?
ведь вместо вызова функции ОС, загружающей exe, можно загрузить его «вручную» в своём процессе

Ну это какая-то спецолимпиада получается

ну, если твоя дискета может потерять 10% содержимого, то рар тут не виноват )))
используй флешки, там 1% хватит на все случаи жизни

используй флешки, там 1% хватит на все случаи жизни

ни разу не видел повреждение на флешке меньше 100%

Смысл этой фичи, что обойти её нельзя. Если можно, то это баг, и он исправляется.

обойти её нельзя? )))

Эта фича никому не нужна, если существует способ её обойти. Если такой способ обнаруживается, то это считается ошибкой, которую надо исправить, и применить это исправление на конечных системах при следующем обновлении.

ну и как вы сможете помешать кому-то создать подписанный универсальный запускатор?

Здравый смысл должен мешать подписывать универсальные запускаторы. Это примерно то же самое, как написать программу, которая делает seteuid(0);system("sh -i"); и установить её с правами 6755 0:0 в свою систему, а потом расхваливать такое решение против su/sudo — удобно же, пароли не надо вводить.

Существование такого запускатора — ровно то, что больше всего хочется злоумышленнику, которого система проверки подписей бинарников пытается остановить.

ведь вместо вызова функции ОС, загружающей exe, можно загрузить его «вручную» в своём процессе

От этого пытаются защищаться с помощью W^X и запретом отображать неподписанные исполняемые файлы в исполняемую память.

Сложности пока что есть только с интерпретаторами — для sh, perl, python, ruby, … нет штатного механизма проверки целостности скриптов, как, например, у powershell.

ну и как вы сможете помешать кому-то создать подписанный универсальный запускатор? ведь вместо вызова функции ОС, загружающей exe, можно загрузить его «вручную» в своём процессе

Запретить загрузку не подписанных DLL и выделение памяти с правом исполнения.

Запретить загрузку не подписанных DLL и выделение памяти с правом исполнения.

и получится айфоновый jail )))

но даже это можно обойти, написав эмулятор запуска exe-шника на любом интерпретаторе языка программирования с FFI-библиотекой (т.е, с возможностью вызывать WinAPI-функции)
эмулируем «вручную» выполнение всех инструкций процессора, а при вызове WinAPI-функций делаем вызов через FFI
будет только проблема с колбэками…

Но зачем так извращаться (и терять существенную долю производительности), если можно просто подписать программу?

затем, чтобы избежать комодозависимости

Можно использовать свою PKI, если нет желания зависеть от чужих CA. Но часто использовать чужие CA (даже за деньги) удобнее/выгоднее, чем поддерживать свою PKI.