Skocz do zawartości
Zaloguj się, aby obserwować  
Gość

Wirus na serwerze

Polecane posty

 

 

Ale to też można załatwić łącząc sedem czy innym ustrojstwem stringi z pominięciem znaków zdefiniowanych

No można... Tylko nie zdziw się, jak okaże się, że zajeżdżasz maszynę grubą analizą każdego z pliczków.

A wystarczy zrobić coś takiego:

 

 

//$s_func="cr"."eat"."e_fun"."cti"."on";
$abc = 'abcdefghijklmnopqrstuvwxyz';
$s_func = $abc{2} . 'r' . $abc{4} . $abc{0} . 't' . $abc{4} . '_' . 'function';

 

Tego function już mi się nie chciało kodować. Wtedy i wszelakie sedy na nic się zdadzą.

A wbrew pozorom to co wymieniłem, to częsta technika maskowania takich szkodników ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

To co ty chcesz zrobić zamaskować wirusa :o. Pewnie dobry pomysł niech się rozmnażają. Sama analiza zajeżdża maszynę ciekawe. Jak ci się nie chce kodować czemu dajesz bezsensowny post lubisz tak nabijać posty ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

czemu dajesz bezsensowny post lubisz tak nabijać posty

Chcę po prostu uzmysłowić, że przy dzisiejszych technikach maskowania się owych wirusów (branych z praktycznej ich analizy, nie teoretyzując z kosmosu) szkoda marnować raz, że swojego czasu na pisanie automatu, dwa że mocy obliczeniowej na szukanie wiatru w polu.

 

 

 

Sama analiza zajeżdża maszynę ciekawe.

No niestety. Bo każdy, nawet najdurniejszy plik trzeba z dysku otworzyć, załadować najlepiej do pamięci, przeciosać wieloma wyrażeniami regularnymi mielącymi to i owo (a często nawet wycinającymi jakieś przecinki, apostrofy itp.), a to niestety obciąża trochę podsystem i/o.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@kafi

Ale czy ja gdzieś napisałem, że istnieje automatyczna metoda, która wykryje dowolnego wirusa X i go przemieli? :D

 

Ja dałem przykład, ot zwykły przykład napisany w ciągu pół minuty, który może (ale nie musi) pomóc w poszukiwaniach. Nie wiemy ani w jaki sposób wirus się dostał, ani to w jakiej postaci się dołączył. Wbrew pozorom lepiej napisać coś takiego prostego, kliknąć i trzymać kciuki "a nuż znajdzie" niż udowadniać, że to nie ma sensu :P.

 

Pewnie, że wszystko się sprowadza do manualnego zrobienia, ale czasem można sobie nieco ułatwić życie :).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

@kafi

 

Czyli rozumiem że jeśli Ty masz wirusa na kompie maskujesz go zamiast usunąć ? To nawet nie chce wiedzieć jaki ty masz syf. :o Rozbawiłeś mnie tym :) . Może poradz koledze @patryk0493 niech wyłączy firewalla, antiwirusa, zaporę i niech wszystko maskuje :) .

 

@Archi

 

Można ale nie znając wirusa trzeba to robić z głową nie robić to co przyjdzie pierwsze do głowy.

 

A jeśli mam rację że został dodany kod w JavaScript bardzo częsty przypadek. Wystarczy go znaleźć :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

Czyli rozumiem że jeśli Ty masz wirusa na kompie maskujesz go zamiast usunąć ? To nawet nie chce wiedzieć jaki ty masz syf. Rozbawiłeś mnie tym

Ja o gruszce, ty o pietruszce...

Chodzi mi tylko o sensowność pisania bezsensownych IMO skryptów.

Jeśli będę chciał sobie szukać prymitywów w stylu jawnego base64_decode albo eval,

to odpalę MC i tam w szukajce wybiorę szukanie po zawartości.

Ba, jak coś znajdze, to po wciśnięciu F3 na nazwie pliku od razu przeniesie mnie do danej linijki :P

Więc pytanie - po co tracić czas, żeby do tego skrypt pisać?

 

Dodatkowo podałem, że teraz to właściwie rzadko który wirus jawnie to base64 czy inne ciągi po których można szukać umieszcza. Pisanie do nich automatów także jest bez sensu, bo techniki maskowania co kod to są inne i coraz bardziej zawiłe. Więc po prostu szybciej IMO jest przejrzeć ręcznie pliki, które odbiegają dosyć mocno datą modyfikacji od całej reszty i poszukać (nawet scrollując owy plik) jakiegoś podejrzanego wg nas kodu.

 

Można jeszcze zapuścić ClamAV, który co nieco też potrafi wykryć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

Po prostu nie ufam programom.

 

Widocznie nie potrafisz czytać z zrozumieniem.

A o czym ja piszę od samego początku :o aby sprawdzić pliki ręcznie.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×