• XSS.stack #1 – первый литературный журнал от юзеров форума

Методы самовосстановления виря

Отслеживать

Tronin

CD-диск
Пользователь
Регистрация
30.03.2012
Сообщения
11
Реакции
1
Интересует следующий вопрос: какие есть методы самовосстановления виря после того как его "убили"?

Приходит в голову следующее:

1) делаем копию (другой сигнатуры) и вставляем в автозапуск.
2) вставляем код в МБР для восстановления файла

кто нибудь кто сталкивался с подобным, может прокомментировать? или дать совет куда копать?
 
в систему цепляем дроппер, который выкинет новую версию файла при убийстве.
В систему цепляем лоадер, который скачает бинарь заново если его убили.
др.
 
прописываемся в биос и живем.. аверы бессильны на данный момент. переустановка винд ничего не изменит...
 
прописываемся в биос и живем..
так сказал будто за хлебом сходил :unsure: :D шьются из под венды только award bios'ы и этож какой скилл надо иметь чтоб разобрать биос, вклинится куда надо (13 прерывание вроде) и все это запихнуть обратно не покоцав микруху, притом что в биосе очень мало свободного места....
хорошо, получилось, прерывание под нашим контролем, теперь нужно еще одно умение - вклинится в процесс загрузки системы... как именно это происходит и в каком месте подмена я не знаю, но в итоге в адресном пространстве ядра должен очутится какой-нибудь малюсенький драйвер который подождет инициализации ядра/подсистем и потихоньку вытянет, например из того же биоса, основной бинарь и восстановит на прежнем месте....
demien ты правда думаешь, что это также просто как сходить за хлебом?
 
demien ты правда думаешь, что это также просто как сходить за хлебом?
так сказал будто за хлебом сходил 

Мы все поняли что ты безумно любиш хлеб :)

Я не писал ни про хлеб, ни про батоны или любые другие мучные изделия.
Я описал то, что действительно является одной из актуальньнейших схем на сегодняшний день по противодействию любым силам кроме перепрошивки биоса.

и этож какой скилл надо иметь чтоб разобрать биос
ну да, это не плюшки к завтраку, это серъезная тема, поэтому все шито-крыто и держится в секрете, об этом могут знать только ресерчеры из аверлаб, но кричать об этом никто не будет, т.к. имхо то, с чем они не умееют бороться, они предпочитают считать не существующим фактом (с)

wahoo смотри...
Заражаем биос (да не все биосы уязвимы, но и авардов множество (хотя если копнуть глубже, то есть и менее известные биосы, которые возможно тоже явзвимы, просто об этом никто не кричит, а тихо юзает и рубит профит), те что не удаётся прошить просто заражаем мбр)
Теперь в биосе достаточно нести код загрузчика мбр и передавать ему управление.
Делается это для того чтобы противодействовать удалению мбр аверами и етц..

з.ы. А так можешь почитать недавние выпуски журнала ксакеп (Xaker 09.12) - железный друшлаг называется, автор сацура.

з.ы.ы. тоже может некоторые весчи помочь понять)
 
Практиком во всем быть невозможно (это только у билана все возможно) :) В чем-то хочешь-не хочешь будешь теоретиком, до момента пока не встанет жесткой нужды в практике.
 
>з.ы. А так можешь почитать недавние выпуски журнала ксакеп (Xaker 09.12) - железный друшлаг называется, автор сацура.з.ы.

можно ссылку ?


По сути понял что нужно копать MBR или Биос-вирус или самое простое трой делать
 
ох как всё просто у некоторых на словах. ну что, остается только концепта ждать.
тсу посоветую следующее: инжект в другой процесс с постоянной проверкой наличия файла и ключа в реестре, если нету то перезаписываем и запускаем
 
Tronin ,да нафиг такое надо? оставь надежду юзверям окошеГ... :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх