Шин10, если чё.
Бамп, ночной.
Я погуглил за тебя, и в интернетах пишут, что это особый калечный процесс, создаваемый из ядра и нужный, чтобы хранить некоторые хайвы реестра, чтоб не читать его каждый раз с диска. Появился с 17063, доступен только для System.
/thread
/thread
Так а чё я его из под SYSTEM дампнуть не могу?
Где метаданные? Где подпись? Где файл?
Чё так подозрительно? Я когда вирусы для лохов писал — тоже их называл как системные файлы и многие так делают, только они палятся именно по этим признакам.
Вот если его дампнуть — там уже можно было бы подизассемблять и увидеть своими глазами, то оно делает или не то.
System - это имя процесса, а не набор привилегий NT AUTHORITY/SYSTEM
У каждого процесса может быть образ, но совсем необязательно, чтобы он был, как необязательно пытаться через анус кривым шпателем делать биопсию желудочков головного мозга, что происходит в твоем случае.
Чё ты сейчас снёс?
Я тебе говорю, что дампер под привилениями NT AUTHORITY/SYSTEM запускал — такими же, какие имеет этот странный образ.
При этом доступа всё равно не получаю.
Как доступ получить?
)))))
Напиши свое ядро со своими бекдорами, и смотри в любые процессы, сколько тебе влезет. К Memory compression нет таких вопросов?)
А как ты вообще пришёл к решению проверить эту хуйню? Просто лазил по процессам и проверял каждый?
У меня от этого сглаживания шрифтов глаза бы вытекли.
Ну этот пациент — регулярный. Тоже говнисто сделан, конечно. Но он был ещё до того, как у меня пошли странные вещи происходить, а Registry этот недавно объявился.
TrueType же к монику калибруется. Недавно вернулся с другого на старый.
Щито поделать десу.
Хотя надо будет чуток перекалибровать — раньше лучше было.
Ну короче началось всё с того, что несколько месяцев назад резко слилось дохуя моих паролей.
(Слиться они и раньше с бесчисленных утечек разных сервисов могли, конечно, и может их только сейчас купили и начали долбиться во все мои аккаунты везде, но как быть уверенным..?)
Вот. Ну и замечаю странные нагрузки изниоткуда временами. Не майнер, конечно (было), но всё же нестабильно как-то.
А главное, что мало того, что у меня бессонница, так и у компа она в какой-то момент началась и даже у телефона с последним апдейтом кастомной прошивки.
Я полез в powercfg, смотреть какие дрова не дают ПеКа в спящий уходить, нашёл там Кортану, не смотря на то, что в настройках не стоит дополнительная галка "держать комп врубленным". Выключил Кортану вовсе и в "powercfg /REQUESTS" стало чисто. Ну, думал — починил. Хуй на воротник. Всё равно не спит.
Ну стал думать, отчего может комп не спать, чем таким он занят, о чём ни я ни системные средства диагностики не в курсе — всё ведёт к руткиту.
Ну и ищу теперь руткит. Этот процесс показался незнакомым. Хотел по-человечески подебажить память. И вот я тут.
Как давно в тему эту влился? Видно что много знаешь про процессы, память и вот это всё. Если у тебя много познаний в этой сфере, то как ты мог пропустить вирус на ПК?
Ринг0 и софтайс. Если оно еще живо.
Всю дорогу в ней.
От провалов никто не застрахован.
В том и суть эксплойтов, что для того, чтобы чтобы через них что-то подхватить — от тебя не требуется никаких действий, кроме включения ПеКи в публичную сеть.
А суть руткитов, чтобы тихонько поселиться на ПеКе, максимально наебать систему в маскировку себя и ждать скриптов/комманд от хозяина руткита, когда придёт время делать вещи.
Уже сколько раз были случаи, когда пол-мира каким-то руткитом были заражены, а хозяин про них забывал, так и никто не чесался их детектить, ибо не делали они нихуя.
Но я как минимум хочу, чтоб комп спал, а у меня не текли пароли. Не знаю, связаны ли эти события. Как раз проверкой этого и занимаюсь.
Шин10, конечно заёбывает своей наглухо отбитой системой прав. Иногда хочется от этого даунгрейднуться.
>Если оно еще живо.
The last released version was for Windows XP.
Может ты программист или же ты просто безопасностью занимаешься? Кстати, большая ли вероятность говняк схватить если периодически винду переустанавливаю официальным образом?
Вкатывайся в линупс. Сириусли.
Oh wow, now i feel old.
> Oh wow, now i feel old.
Это тебе.
Чуток работал по этим сферам, но это не делает меня профессионалом.
Считай просто хоббиист со стажем.
На досуге занимаюсь и кодом, реверсом, датасеком, администрированием и всей вот этой поеботой.
Я бы написал на доску о реверсинге, если бы она на двощах была. К программистам лезть не хотел, ибо медленно и не совсем топик.
>Кстати, большая ли вероятность говняк схватить если периодически винду переустанавливаю официальным образом?
Расплывчатый вопрос. Подхватить тебе ничего не мешает "свежесть" твоей установки. Но избавляться от некоторого говна помогает. От другого — нет, если только ты не вайпаешь все данные целиком.
> Я бы написал на доску о реверсинге, если бы она на двощах была.
Что за реверсинг? Много слышал когда кое-какой темой занимался, но так и не смог дать нормальное определение. Можешь объяснить что это хотя бы?
>От другого — нет, если только ты не вайпаешь все данные целиком.
Что подразумевается под полным вайпом? Таки полностью диск форматирую при установке новой винды.
Да на Шиндах же уже есть подсистема прыщей, ахах.
После того, как они её завезли, я даже дуалбутиться перестал...
Эдакое вино-наоборот с б/д и шдюхами.
Я понял :)
Но да, к тому и просранные полимеры и некоторое желание даунгрейда. Только вот на той же ХРюшке оно не надобилось вправду, потому, что права не были всраты Мелкомягкими и официальные образы в памяти нормально подписывались.
А я давно перебрался в центось, например.
Это внутренний компонент винды, расслабь булки. Руткит блять он нашел.
мимо С++ керенл разработчик
> мимо С++ керенл разработчик
Как долго занимаешься этой хуйней? Что рассказать можешь?
Года 4. Много чего рассказать могу. Задавай четкие конкретные вопросы, если что-то интересует.
В целом про безопасность хотелось бы узнать.
И другое, C++ для изучения очень сложен или как? Как процесс обучения у тебя проходил, например в начале сложно было, а затем легко. Какие советы дать можешь?
У ОПа видимо не тот случай, но все же интересно, как анализируют реальный руткит.
Предполагаю, что примерно так:
1. Комп сразу выключают, чтобы малварь не успела зачистить следы.
2. Вытаскивают жесткий диск из зараженного компа и втыкают в чистый, без доступа в интернет.
(На случай, если заражен БИОС или еще какое-нибудь говно)
3. Загружают с флешки систему для форензики и сравнивают зараженную винду с чистой.
4. Вирусня дизассемблируется, при необходимости запускается на тестовой машине с перехватом трафика.
Предполагаю, что примерно так:
1. Комп сразу выключают, чтобы малварь не успела зачистить следы.
2. Вытаскивают жесткий диск из зараженного компа и втыкают в чистый, без доступа в интернет.
(На случай, если заражен БИОС или еще какое-нибудь говно)
3. Загружают с флешки систему для форензики и сравнивают зараженную винду с чистой.
4. Вирусня дизассемблируется, при необходимости запускается на тестовой машине с перехватом трафика.
У меня небольшое ощущение, что меня троллят, ну да ладно...
https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%80%D0%B0%D1%82%D0%BD%D0%B0%D1%8F_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0
Как бы начни тут.
А в словах, применительно к топику: программы из кода состоят. Пишутся на удобном, но компилируются в очень мелкий и неудобный для человека, но удобный для машины.
На этот код можно посмотреть. Ты смотришь на мясо памяти, состоящее отчасти из машинного кода, отчасти из данных и пытаешься логически разобрать по ним, как это говно работает. Можно менять инструкции хоть прямо в памяти, хоть в файле, чтобы он мапался на память уже удобным тебе.
Дебаггерами это всё делается обычно.
Ну и там дизассемблеры тебе помогают это немного выше уровнем делать в статике. Хекс-редакторы для хекс-редактирования, очевидно. Снифферы для сети. Ну и так далее...
Поле широкое и на мой личный взгляд весёлое.
Бывает клёво пилить патчи на игоры, например, меняющие их функционал, я уже молчу про взлом любой проги, которая от тебя денег хочет...
> (На случай, если заражен БИОС или еще какое-нибудь говно)
Это возможно? Пиздец.
>Какие советы дать можешь?
Тряпку на полу увидишь, не поднимай и не наступай. Наступишь -отпиздят, поднимешь - выебут. Хлеб с пораши не ешь.
хорошо, что ты свои дегродские вопросы в /б/ спрашиваешь, в другом месте подумали бы что ты просто даун
Гемор и условия не те. Если бы была возможность...
>сравнивают зараженную винду с чистой
Как ты эти макросистемы сравнивать будешь...
>На случай, если заражен БИОС
Немножко фантастика, хотя если не BIOS, а эти блядские UEFI, которые теперь везде, то я ещё могу представить.
Да, я ретроград.
> У меня небольшое ощущение, что меня троллят, ну да ладно...
Прости.
> Дебаггерами это всё делается обычно.
Таки дебаггер же показывает код в ассемблере, так? И затем ты меняешь прямо в памяти этот код на что-то иное?
> Бывает клёво пилить патчи на игоры, например, меняющие их функционал, я уже молчу про взлом любой проги, которая от тебя денег хочет...
Как, например, можно свои патчи на игре запустить кроме dll очевидной? Много ли способов?
>в другом месте подумали бы что ты просто даун
А тут разве не думают?
За советы спасибо.
А давай теперь представим, что в этот внутренний компонент винды встроился руткит.
Как ты снаружи без доступа об этом будешь судить?
Блядь...
Ну в целом да, надо, видимо, искать дальше...
Советую поступить в ВУЗ, если нет возможности, то посети раздел /pr/, там есть загон для каждого ЯП, в каждом треде шапка с материалами, которые должен изучить каждый программист. Также советую выучить английский язык, ибо самого сочного материала на русском просто нет. Сначала будет сложно, в С++ главное не тупить и много практиковаться, прочитал тему - сразу иди баловаться с ней, попробуй реализовать, посмотреть в отладчике как это работает. Вкатывался я около года, завалил наверное собеседований 10, далее понял, где у меня слабые места, подтянул знания и устроился на работку. Вышки нет, вот сейчас ее получаю.
Ладно, спасибо за ответы. Удачи тебе в жизни!
>Что подразумевается под полным вайпом?
Уничтожение всех данных. Не только Шинды и програм, но и картиночек/архивчиков/документиков, ещё какой дряни. С неисполняемыми данными обычно проблем нет, пока их не делают прокси-исполняемыми всякие эксплойты. Уже в какие только документы за историю провалов датасека код не встраивали...
>в другом месте подумали бы что ты просто даун
Ты переоцениваешь контингент, честно.
Просто большинство даунов молчат.
>фантастика
Intel ME
Или, как вариант, обходи С++ и иже ООП за километр.
Платят не только за извращения с кодом.
Никто не анализирует зараженные файлы на рабочем компьютере, весь анализ проводится на подготовленной виртуальной машине.
Сначала код анализируют статически, ищут подозрительный импорт, подозрительные строки, смотрят на дизасемблированный код, делают определенного рода выводы и разрабатывают дальнейшую стратегию анализа файла. Если вердикт - упаковщик/лоадер, то нужно добраться до следующего этапа атаки малвари и достать конечный файл. Если файл уже конечный, то остается только воспроизвести полную картину того, чем он занимается в системе. Это если вкратце.
>подтянул знания и устроился на работку. Вышки нет, вот сейчас ее получаю.
лвл?
Вот к этому претензий нет — там то действительные массовые эксплойты вскрывались.
Да и что за дебильная идея у Интелодаунов была сделать ОС в процессоре...
Как только случился тот ажиотаж — я сразу же съебал на Ryzen и ни чуточку не пожалел с тех пор.
Руткиты могут быть в любых чипах с возможностью программной записи и последующего исполнения.
А таких сейчас дохуя в компе. Процессоры, сетевые карты, уефи, жесткие диски.
Во всех процессорах встроен маленький компьютер со своей операционной системой (Intel ME, AMT).
> сравнивают зараженную винду с чистой
> Как ты эти макросистемы сравнивать будешь...
Система на диске это же просто набор файлов. Берешь и сравниваешь. Потом ищешь аномалии.
Не знаю, есть ли такие бесплатные программы, но платные давно есть.
Кто-нибудь обмазывался всякими специализированными автоматизированными средствами детекта руткитов, типа какого-нибудь UnHackMe?
Стоит вообще трогать их?
Стоит вообще трогать их?
Сап, двач. Можно ли написать эксплойт на питоне нахуй? Вкатываюсь в питон, думаю вирусы написать в целях ознакомления, естественно
Не может он туда вставиться. Компонент изолирован и защищен специальными средствами ОС, ты же его сдампить не можешь? Ну и руткит тоже ничего сделать не может. Кроме того, это не полноценный процесс, так что с ним ничего интересного сделать нельзя априори.
Не за что. Тебе тоже удачи, анончик.
25
За что ещё?
Интерпретатор не забудь.
>думаю вирусы написать
На словах то звучит.
На практике овердохуя вариативности.
Посыл я понял, но
>Гемор и условия не те.
Finally
>25
По вступительным вкатился или ЕГЭ сдавал?
PCHunter, правда под последний билд 1903 винды все еще не обновили. Трогать стоит, очень интересные вещи можно узнать о том, где может засесть вирус, да и вообще об ОС в целом.
Какую-нибудь банальщину можно написать на чем угодно. В целях ознакомления питон подойдет. Лучше антивирус попробуй написать, чем страдать херней. Вот это действительно интересно будет и полезно.
И то и другое пришлось сдавать.
>Иногда хочется от этого даунгрейднуться.
так что тебя останавливает? 10 минут делов.
>показывает код в ассемблере
Некорректная формулировка.
Показывает машинный код с обратной интерпретацией оного в опкоды по заданному оффсету.
Но на просторечии, можно и так сказать. Привыкай, что это педантичная среда.
>ты меняешь прямо в памяти этот код на что-то иное
Да. Как вариант.
Если руки чешутся — возьми Cheat Engine. Это полноценный дебаггер, на самом деле, хоть репутация у него не та. Немного кривоваты интерфейсы, но суть в том, что с ним поставляется туториал, который в игровой форме учит реверсу поэтапно наращивая сложность.
>Много ли способов?
Не понял вопроса.
Ты Бог и король для данных — чё хочешь, то с ними и делаешь.
А что ты смеёшься? Есть же специальные конверторы в exe. Troyan.pythonmaster.exploit.exe создать с функцией маскировки и морфинга, пиздец твоему пк.
Ну, оно технически там типа поддерживает какую-никакую компиляцию на некоторых версиях...
И обернуть можно всегда любую интерпретарщину.
Другое дело — зачем молотком микроскопы забивать...
> Лучше антивирус попробуй написать, чем страдать херней. Вот это действительно интересно будет и полезно.
Чтобы написать хороший антивирус, нужно уметь писать хорошие вирусы.
>ты же его сдампить не можешь? Ну и руткит тоже ничего сделать не может
Я это из сеанса пользователя делаю в рантайме, хоть и с пробросами под систему, а он может там как-то хитро попрортить файлы до winlogon'а, например, чтобы образ формировался уже с говном, а чтобы это не детектилось — попортить проверки.
Да вот, кстати, не так давно был баг на системе — Шинда в упор не считала просроченность сертификатов проблемой. Я только не знаю, баг ли это Шинды просто накриворучили Мелкомягкие или же у меня что-то сломано.
За написание кода без изврата с ООП тоже платят.
ООП мертворожден. Половина людей пишут на нём не как задумано и оттого имеют проблемы, другая половина пытается писать как задумано и имеет проблемы именно от этого, ибо задумано криво.
А уж разбираться в чужом ООП коде — это смертоубийство. А этим при устройстве на работы частенько приходится заниматься.
Короче, я тут холивор не пытаюсь устроить оффтопиком. Нравится мучаться в ООП — щито поделать десу. На здоровье.
Немного не так работает.
Писатель вирусов может делать это хорошо, но написать хорошее защитное решение не сможет.
Разработчик защитных решений может делать хорошо и то и другое.
Не баг, а фича! Так и должно работать.
Двачую.
Либо напишешь ESET NOD32, который на запуске всех поразил тем, как быстро он делает НИХУЯШЕНЬКИ.
Либо НЕ напишешь по-настоящему годный антивирус без большого коллективного труда длинною в декаду.
Разработка добротного антивируса из бесконечного кропотливого реверса состоит чуть более, чем наполовину.
У Шин10 много плюх, ради которых я пришёл и из-за которых не хочется уходить, очевидно же.
Вот тут орнул.
>Так и должно работать.
Дак ко мне так однажды майнер пришёл подписанный просрочкой. Даже успел чуток помайнить.
Хорошо я его вручную заметил и выкинул за борт.
Изначально взглянул на сертификат — годный, ну значит не penis canina. А оказался ещё какой пенис и сертификат нихуя не годный.
Научился кодить на си под линукс и такое же мнение сложилось.
На си можно писать идеальные программы. На джаве сколько не пытался всегда получалась хрень.
Но все же, как мне кажется, у каждого инструмента есть свое применение.
Абстракции и паттерны джавы могут переусложнять программы, но помогают энтерпрайзу отделить код от программиста, удешевить разработку.
Конкретно в разработке антивируса реверса минимум. Важно использовать документированный и легитимный функционал ОС, дабы не было проблем с совместимостью. Тут скорее больше ресёрча, чем реверса.
>помогают энтерпрайзу отделить код от программиста, удешевить разработку.
В этом идея. Да. На словах.
На деле часто видел именно в компаниях еблю и сдающие нервы при попытках убираться за ушедшим сотрудником.
Ты предполагаешь просто написать ровный хост для чужой базы сигнатур?
Сигнатуры нарезаются автоматически во многих конторах. В других конторах их закупают/шарят. Сигнатурный детект уже вымер давно, это безусловно важная часть, но далеко не самая.
А о чём тогда речь?
Эвристика?
Зондирование?
Поведенческий анализ. Предотвращение заражения.
Как перекатиться из тестировщиков в программисты? Знаю С++ очень хорошо, но вместо кода пишу тесты для чужого кода, пиздос!
>Эвристика?
>Поведенческий анализ.
Это же оно и есть. И вот тут как раз реверс пригодится.
>Зондирование?
>Предотвращение заражения.
Угу, но я надеюсь речь не о бабкиных методах с подорожником и ограничении пользователя во всём.
Как минимум, сменить место работы. Внутри компаний очень трудно менять позицию и зарплату, но вот взяв свой опыт и навыки на собеседование в другой — можно как раз затребовать те условия, которых достоен.
>Внутри компаний очень трудно менять позицию и зарплату, но вот взяв свой опыт и навыки на собеседование в другой — можно как раз затребовать те условия, которых достоен.
Это и так понятно.
Ну так а в чём проблема тогда?
>Знаю С++ очень хорошо
Вот это в собеседовании на вакансию программиста и докажи.
Если даже где-то что-то сомневаешься — иди джуниором для начала.
Я и так пошёл джуниором. Просто перейду в другую, а там опять тесты.
Я типа джуниор программист, а юниттесты приходится писать.
Берёшь OllyDebugger и не ебёшь мне мозги.
Про дебаггер я в шапке написал.
Доступа нет.
Да и не важно уже, считаем, что это — ложная треваога.
Ищу руткит в других местах.
он у тебя вместо ОСи
Так бы сразу и сказал, кек.
А то я сам в QA работал тестером.
В зависимости от HR-политики компании, инженерам всё равно приходится писать юнит-тесты для своих программ.
Но если ты только их и пишешь, то грустно как-то.
Если тебя это беспокоит сильнее, чем поиск новой работы, то зашевелись, да выскажи техническому директору, тимлиду, или директору, смотря как у вас там структура устроена, прямо, что не хочешь больше этим заниматься, мол, квалифицированный специалист и хочешь приносить реальную инженерную пользу. Ультиматумы перед увольнением иногда работают, хотя может и послать.
Тогда уже на новом месте устраивайся не джуном, например.
>PCHunter
>Трогать стоит
Окей, посмотрю. Спасибо.
>Но если ты только их и пишешь, то грустно как-то.
Ага, пиздец.
Просто у нас в стране не особо распространена корпоративная практика интернов нанимать.
А потому вместо них всю грязь льют на джунов и поддержку.
>Тогда уже на новом месте устраивайся не джуном, например.
Проект закончить хотя бы хочется, будет уже год работы, уже что-то.
>будет уже год работы
Да, для "опыта работы" круглая цифра пригодится.
>Проект закончить
Только там не позволяй себя уламывать остаться ради проекта на старых условиях после того, как ты решишь уйти. А то в некоторых компаниях "проект" никогда не заканчивается.
Ладно. Вообще я тут многому научился, хочется уже всё это на практике применять, а вместо этого тесты всратые пишу. Ну йобана. Ладно, спать пойду. Добра.
И тебе, анон.
Я тоже съебу в магаз за сигами...
>Как можно поглядеть на содержимое данного образа в памяти?
Примерно в такой же ситуации я сделал p2v, не особо парясь, Disk2vhd.
Потом запустил это в виртуалке, дождался, когда процесс стартанул и начал выдавать эффекты.
Потом засуспендил и выдрал образ из памяти.
В моем случае код хранился в ADS, потом разобрался и нашел, как оно попало ко мне.
Если кому интересно, откуда прилетело - это была отдельная чистая тестовая машина, на которой я отдельно разрабатывал и отлаживал один чудной проект.
Для него потребовались библиотеки от Telerik, которые я в ломаном виде нашел на торрентах. Нужно было очень срочно сделать задачу, так что подписи файлов не проверил. В одной либе, которая была нужна (UI) оно и было прицеплено.
Потом уже нашел нормальную не всратую версию.
Хм. Хорошая идея. Я даже не подумал об этом.
Напомнило, как я однажды купил SSD, замапал его в виртуальный диск под VirtualBox с прямым I/O (тогда это было эксперементальной фичей), накатил туда Семёру, сверху сделал апгрейд до Шин10, чтобы получить бесплатную цифровую лицензию, а затем просто загрузил родную машину с того диска.
Почему-то весело вспоминать.
>засуспендил и выдрал образ из памяти
А можно чуть подробней, об этом?
Я не так много с виртуалками работал, чисто по нужде.
Ты дампнул образ всего VM-хоста и в нём ручками нашёл образ виртуализированного процесса? Он в прямом виде там хранится?
Или же в VM-хосте были инструменты для дампов отдельных виртуализированных образов?
>PCHunter
Китайская тулза.
Ковыряю её сейчас...
Пользуюсь отечественным аналогом уже лет 12 примерно.
На пикриле херь какая-то. Пока не понял.
Дошёл до Ring0 и там нахуй всё в хуках...
Ладно, без паники, у меня же всегда павертулы всякие стоят. Тот же Sandboxie мог хуков для виртуализации накидать.
Надо дизассемблить и инспектить потихоньку...
Ладно, без паники, у меня же всегда павертулы всякие стоят. Тот же Sandboxie мог хуков для виртуализации накидать.
Надо дизассемблить и инспектить потихоньку...
Точнее нужно дампнуть что-то очень подозрительное, чтобы понять, руткит ли оно. Симптомы есть.
Есть один странный процесс...
В образе никаких метаданных, кроме названия "Registry".
Ни родителя, ни пути к файлу.
Файла такого нет. Образ, очевидно, вгружен процедурно.
Думал дампнуть, чтобы посмотреть, что из себя внутри представляет, ну и на сторонний анализ сдать.
Доступ ни для каких операций с этим процессом получить не могу, даже когда с помощью SysInternals/PSTools/PsExec запускаю дампер или дебаггер под учёткой SYSTEM.
Как можно поглядеть на содержимое данного образа в памяти?