Re: Предлагаю новую тему для разговора - вирусологию
Posted: Fri Dec 16, 2011 2:54 pm
Все правильно - упакованный бинарник имеет собственный идентификатор в начале. Ядро распаковывает, читать особо негде - только смотреть код.
Board.KolibriOS.org
Official KolibriOS board
http://board.kolibrios.org/
Предлагаю новую тему для разговора - вирусологию
Page 6 of 6
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Fri Nov 30, 2012 12:45 am
Идейка одна есть. С помощью рамдиска можно организовать некоторую защиту от кривых рук и вредных прог. Для того что бы испортить(поправить) систему надо сохранить рамдиск. А если в сис. функцию сохранения рамдиска добавить вывод окошка с "введите код с картинки", то вредной проге в систему не залезть, а значит и никакого автозапуска или изменений ядра. Да и ни каждому криворукому будет желание вводить цифры. Остаётся проблема с подменой файлы дискеты на винчестере. Тут уже что-то с функциями чтения-записи надо крутить.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Fri Nov 30, 2012 12:55 am
Вирусы - они намного коварнее, чем кажется. Они могут и мышь перехватить, и клавиатуру (для этого даже специальные системные функции есть), и заменить ярлык на рабочем столе, и даже заменить собой rdsave без проблем. Самый простой способ борьбы с потенциальными вредителями - разграничение прав пользователя, я считаю. В unix-системах он прилично работает (если не удается найти уязвимость, позволяющую получить root нечестным путем, конечно).
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Fri Nov 30, 2012 1:20 am
В принципе согласен. Правда с виндой что-то не работает это разделение прав) А в линуксе я пока почти не разбираюсь.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Fri Nov 30, 2012 1:29 am
Потому что в винде это разделение прав сделано через одно место. Даже обычный юзер может писать в папку Windows и удалять системные файлы. В linux обычный пользователь больше похож на учётку гостя в windows.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Sat Aug 31, 2013 4:12 pm
Exploit "All Buttons Killer"
Проверялось в QEMU.
Можно удалить все кнопки c экрана на время заданное злоумышленником. Таким образом в теории можно показать рекламный баннер или запустить вредоносную программу, которую нельзя будет закрыть ни через крестик окна, ни через диспетчер задач (ибо завершение приложения тоже происходит через нажатие на кнопки, которых нет).
Принцип работы прост: зацикливаем создание кнопки. Всё.
Исходники и бинарники: buttons_killer.zip
В итоге получаем следущее
Проверялось в QEMU.
Можно удалить все кнопки c экрана на время заданное злоумышленником. Таким образом в теории можно показать рекламный баннер или запустить вредоносную программу, которую нельзя будет закрыть ни через крестик окна, ни через диспетчер задач (ибо завершение приложения тоже происходит через нажатие на кнопки, которых нет).
Принцип работы прост: зацикливаем создание кнопки. Всё.
Исходники и бинарники: buttons_killer.zip
Code: Select all
START:
mov ecx,1
mov ebx, 23
mov eax, 8
int 0x40
jmp STARTRe: Предлагаю новую тему для разговора - вирусологию
Posted: Sat Aug 31, 2013 4:15 pm
Переименуйте, пожалуйста, тему в что-то более серьёзное. Вроде "Вирусы и эксплойты", в таком духе.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Sat Aug 31, 2013 7:37 pm
Ну и зачем, чтобы кто-нибудь это использовал.
Предлагаю только описывать информацию по уязвимости, но не приводить готовый код и приложения, это отсеет тех кто умеет только качать, или качать и компилировать.
Было бы не плохо внести в правила, не приводить код уязвимости, не выкладывать вредоносные программы.
Предлагаю только описывать информацию по уязвимости, но не приводить готовый код и приложения, это отсеет тех кто умеет только качать, или качать и компилировать.
Было бы не плохо внести в правила, не приводить код уязвимости, не выкладывать вредоносные программы.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Sat Aug 31, 2013 7:51 pm
> описывать информацию по уязвимости, но не приводить готовый код и приложения
ну да, зациклить создание кнопки ещё та сложность
> Было бы не плохо внести в правила, не приводить код уязвимости, не выкладывать вредоносные программы.
Не понимаю подобного отношения - уязвимости надо исправлять, а не скрывать.
ну да, зациклить создание кнопки ещё та сложность
> Было бы не плохо внести в правила, не приводить код уязвимости, не выкладывать вредоносные программы.
Не понимаю подобного отношения - уязвимости надо исправлять, а не скрывать.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Sat Aug 31, 2013 9:45 pm
>> описывать информацию по уязвимости, но не приводить готовый код и приложения
>ну да, зациклить создание кнопки ещё та сложность
Для некоторых людей, написать одну строчку кода проблема.
>> Было бы не плохо внести в правила, не приводить код уязвимости, не выкладывать вредоносные программы.
>Не понимаю подобного отношения - уязвимости надо исправлять, а не скрывать.
Я не говорю скрывать, я говорю не выкладывать код готовый к употреблению.
>ну да, зациклить создание кнопки ещё та сложность
Для некоторых людей, написать одну строчку кода проблема.
>> Было бы не плохо внести в правила, не приводить код уязвимости, не выкладывать вредоносные программы.
>Не понимаю подобного отношения - уязвимости надо исправлять, а не скрывать.
Я не говорю скрывать, я говорю не выкладывать код готовый к употреблению.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Sun Sep 01, 2013 8:58 pm
Прямо как в славные времена Win3.х. Одно приложение выжирает все ресурсы и система становится неработоспособной. Был даже индикатор доступных ресурсов GDI, и всё время жёлтый, зараза.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Mon Oct 14, 2013 6:30 pm
"Самый простой способ борьбы с потенциальными вредителями - разграничение прав пользователя" - полностью согласен.
Вообще, когда у нас были Pentium-III и касперский-4, то жуткие тормоза заставили изучать gpedit.msc ))) Там (Конфигурация пользователя-Система-Выполнять только разрешенные..) можно указать программы, которыми пользуешься, а все остальное автоматически считаются "вирусами" и тупо не запускаются. Посторонним программам можно было бы дать отпор и отказаться от антивирусов (речь идет о пользователях, которым нужен только Интернет и Word) если бы... прописывался полный путь до приложения! Таким образом, C:\Drweb.exe для Windows это все равно что вирус переименованный в D:\Drweb.exe А как все хорошо начиналось =) Но на некоторые машины в силу такой политики вирусы не пошли, наверное пользователи были с головой и то что не запускается проверяли "кьюритом", а потом уже бежали ко мне. Чтобы не бежали, уже была почти готова программа (полуфабрикат на Lazarus где-то валяется;) дополняющая список и вносящая правки в реестр, но тут произошла смена парка машин на двухъядерники и обкатать не получилось. На "борьбу" с прожорливостью Касперского с докторвэбом были отданы все ресурсы компа, так что Word медлительностью уже не страдал
))
На мой взгляд, такой базовой функции в Kolibri OS наверняка было бы на первых порах достаточно, чтобы случайно не запустить "не ту" программу с диска.
Я хочу сказать, что вместо того, чтобы начинать громадный проект, который мало кто потянет, можно было бы создать один маааахонький проектичек, который уже гарантированно (если бы не эти пути!), работает в Windows XP.
Вообще, когда у нас были Pentium-III и касперский-4, то жуткие тормоза заставили изучать gpedit.msc ))) Там (Конфигурация пользователя-Система-Выполнять только разрешенные..) можно указать программы, которыми пользуешься, а все остальное автоматически считаются "вирусами" и тупо не запускаются. Посторонним программам можно было бы дать отпор и отказаться от антивирусов (речь идет о пользователях, которым нужен только Интернет и Word) если бы... прописывался полный путь до приложения! Таким образом, C:\Drweb.exe для Windows это все равно что вирус переименованный в D:\Drweb.exe А как все хорошо начиналось =) Но на некоторые машины в силу такой политики вирусы не пошли, наверное пользователи были с головой и то что не запускается проверяли "кьюритом", а потом уже бежали ко мне. Чтобы не бежали, уже была почти готова программа (полуфабрикат на Lazarus где-то валяется;) дополняющая список и вносящая правки в реестр, но тут произошла смена парка машин на двухъядерники и обкатать не получилось. На "борьбу" с прожорливостью Касперского с докторвэбом были отданы все ресурсы компа, так что Word медлительностью уже не страдал
))На мой взгляд, такой базовой функции в Kolibri OS наверняка было бы на первых порах достаточно, чтобы случайно не запустить "не ту" программу с диска.
Я хочу сказать, что вместо того, чтобы начинать громадный проект, который мало кто потянет, можно было бы создать один маааахонький проектичек, который уже гарантированно (если бы не эти пути!), работает в Windows XP.
Re: Предлагаю новую тему для разговора - вирусологию
Posted: Fri May 29, 2020 1:26 am
[quote="Nable"]Если честно, то хотя MEOS операционки называют любительскими системами, они уже получили весьма заметную распростанённость и известность...
.. вирусология - да,
это нужная тема, если труд антивирусописателей будет оплачен.
.. вирусология - да,
это нужная тема, если труд антивирусописателей будет оплачен.