Сообщения без ответов | Активные темы


Список форумов » Общение » Персональные Страницы

Часовой пояс: UTC + 3 часа




Форум закрыт Новая тема / Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней. Закрыто  Сообщений: 36 • Страница 2 из 2<  1  2
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  siliks

Junior
Статус: Не в сети
Регистрация: 04.05.2006
Идея оригинальная - из autorun.inf запускать сам autorun.inf
Но вот всё остальное городить на скриптах (и особенно отлаживать) достаточно трудно. Почти как в гамаке и на лыжах :-)
Екзешником сделать будет проще. Но в размере он скрипту конечно проиграет...

Я не знаток Windows Scripting к сожалению... :-(
Чтобы идея заработала (то есть скрипт распространился вместо авторанных вирусов и отрубил авторан) надо писать полноценный червь, который будет жить на компе, запускаться при старте системы и заражать собой другие флешки. Не знаю, можно ли всё это сделать на скриптах.

Кстати, на сайте антивируса Панды (было в ссылках выше) писали про вакцинацию и создание на флешках неудаляемого autorun.inf, присваивая ему некорректные атрибуты. Вряд ли это сильно распространится и поможет. Нынешние вирусы и правда обломаются. А вот вирусописатели, я думаю, вскоре освоят этот способ. И будут вири на флешках с неудаляемым (обычным способом) автораном.
Реклама

Партнер
  HertZ

Advanced member
Статус: В сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 58
siliks, никаких скриптов городить необязательно, autorun.inf сам может быть экзешником или дллкой. Скрипт-это просто упрощенный пример... Хотя и вариант.

Раз уж никто не решил задачку, сегодня выложу примерчик на ассемблере :-D
Добавлено спустя 6 минут, 46 секунд
siliks писал(а):
Чтобы идея заработала (то есть скрипт распространился вместо авторанных вирусов и отрубил авторан) надо писать полноценный червь, который будет жить на компе, запускаться при старте системы и заражать собой другие флешки. Не знаю, можно ли всё это сделать на скриптах.

Это и нужно... Заражение флэшек можно сделать периодическим опросом дисков, либо же таскать с собой блоб с актив-икс компонентом для этой цели.. Но это уже изврат. Тем более что многие черви даже будучи написанными на асме не заморачиваются получением системных сообщений, а просто тупо опрашивают диски в цикле, и все.

Что касается запуска, внесения изменений в реестр и так далее-из скриптов это даже проще делается.
Добавлено спустя 4 минуты, 17 секунд
siliks писал(а):
И будут вири на флешках с неудаляемым (обычным способом) автораном.

Файл с некорректными атрибутами невозможно не только удалить, но и открыть. Так что сохраненный таким образом файл неопасен...
Добавлено спустя 13 минут, 6 секунд
siliks, в случае если такая штука будет написана на JScript/VBScript, то мы имеем неоспоримое преимущество-такой червь будет без проблем работать даже на Windows для Itanium :-D

_________________
14900KS @ 6200/4800
96G Trident Z5 @ 7200 (34-42-42-53, ICE-RDT)
z790 Aorus Master X
RX 6900XT GAMING OC 16G+Bykski WB
macOS Sequia 15.5

  siliks

Junior
Статус: Не в сети
Регистрация: 04.05.2006
HertZ писал(а):
никаких скриптов городить необязательно, autorun.inf сам может быть экзешником или дллкой. Скрипт-это просто упрощенный пример... Хотя и вариант.


Как в таком случае сделать запуск autorun.inf из него же самого, если он екзешник?
Или просто переименовать екзешник в autorun.inf ???


HertZ писал(а):
Это и нужно... Заражение флэшек можно сделать периодическим опросом дисков, либо же таскать с собой блоб с актив-икс компонентом для этой цели.. Но это уже изврат. Тем более что многие черви даже будучи написанными на асме не заморачиваются получением системных сообщений, а просто тупо опрашивают диски в цикле, и все.


Тупо опрашивать диски оно тупо есть... Из-за этого всё начинает тормозить и не отмонтируется флешка. В лучших традициях USB-флеш-вирусов.

HertZ писал(а):
Файл с некорректными атрибутами невозможно не только удалить, но и открыть. Так что сохраненный таким образом файл неопасен...


В самом деле? Не знал... надо попробовать. А как хекс-редактором поправить атрибуты у файла?
  HertZ

Advanced member
Статус: В сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 58
siliks писал(а):
Как в таком случае сделать запуск autorun.inf из него же самого, если он екзешник?

Парсер обрабатывает autorun.inf, выкидывая из него все "лишнее", то есть в случае экзешника код... Он видит только понятные ему строки, расположенные не слишком далеко от начала файла. Ну а в эти строки можно вставить команду на запуск самого себя, как программы. Попробуй переименовать любой экзешник в test.txt, и набрать в консоли в соответствующем каталоге dir|test.txt, например... Запустится этот "текстовик", как миленький.

siliks писал(а):
Из-за этого всё начинает тормозить

Ну это от ума программиста уже зависит... Если просто While (true) без мутексов и слипов, тогда конечно будет тормозить и глючить.

siliks писал(а):
В самом деле?

Да. Ошибка файловой системы, как-никак.

siliks писал(а):
А как хекс-редактором поправить атрибуты у файла?

WinHex, или что-нибудь вроде Disk editor для этого подойдет... Хотя можно попробовать натравить на флэшку chkdsk, и он исправит атрибуты (хотя не пробовал).

_________________
14900KS @ 6200/4800
96G Trident Z5 @ 7200 (34-42-42-53, ICE-RDT)
z790 Aorus Master X
RX 6900XT GAMING OC 16G+Bykski WB
macOS Sequia 15.5

  StrateG-1

Member
Статус: Не в сети
Регистрация: 21.08.2007
А по моему проще отключить АУТОРАН и все! и никакой заморочки с левым непонятным софтом! :lol:

_________________
Смерть - это не конец жизни, жизнь - это начало смерти!

  Darth_Maul_x3

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 23.01.2008
Откуда: Отовсюду
флешку в NTFS, запись в корень запретить... никаких авторанов...

_________________
-I count six shots, nigger
-I count two guns, nigger

  HertZ

Advanced member
Статус: В сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 58
Darth_Maul_x3 писал(а):
флешку в NTFS, запись в корень запретить... никаких авторанов...

От большинства-да.. Но если червь будет использовать драйвер режима ядра, то не поможет. Так же как и создание "неудаляемых" файлов..
Добавлено спустя 2 часа, 6 минут, 43 секунды
В общем, червячок пишется, сделал пока обработку сообщений и обнаружение нового диска по ним (MASM + C)... Ориентировочный максимальный размер экзешника будет 3-4 килобайта, а может и 2 8-)

_________________
14900KS @ 6200/4800
96G Trident Z5 @ 7200 (34-42-42-53, ICE-RDT)
z790 Aorus Master X
RX 6900XT GAMING OC 16G+Bykski WB
macOS Sequia 15.5

  Tod Schwarzkaiser

Member
Статус: Не в сети
Регистрация: 16.04.2004
Откуда: [MSK.RU]
Какая интересная тема с червячком :)
Попробовал на дельфе, сделать авторан получилось, он даже метку диска меняет и из консоли запускается диром, но просто "dir|autorun.inf" не работает, а "dir|C:\autorun.inf" работает, но не проходит по условию :(
И экзешник 40Кб весит :weep:
  HertZ

Advanced member
Статус: В сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 58
Tod Schwarzkaiser писал(а):
но просто "dir|autorun.inf" не работает

Попробуй "dir|.\autorun.inf"

Tod Schwarzkaiser писал(а):
И экзешник 40Кб весит Рев в 3 ручья

Что-то многовато, у меня со всеми потрохами на асме + С больше 5 килобайт не будет... Ты его пробовал скрещивать с autorun.inf?

_________________
14900KS @ 6200/4800
96G Trident Z5 @ 7200 (34-42-42-53, ICE-RDT)
z790 Aorus Master X
RX 6900XT GAMING OC 16G+Bykski WB
macOS Sequia 15.5

  serj

Advanced member
Статус: Не в сети
Регистрация: 10.04.2003
Откуда: Москва
Господа, а вы не подумали, что это может увидеть модератор? Разработка вируса .... да его кандрашка хватит!
Заканчивайте это безобразие. Мое IMHO.
Вирус для борьбы с вирусами - это уже было и не раз. Кончалось одним и тем-же, это 'анти_вирус' начинал вредить как настоящий вирус.

p.s.
Я серьезно.
  Tod Schwarzkaiser

Member
Статус: Не в сети
Регистрация: 16.04.2004
Откуда: [MSK.RU]
HertZ
Большой он из-за дельфийских модулей.
А строчки нужные вставить в экзешник было очень просто...
Блин, может, и правда, закончить безобразие? Написанного в теме вполне достаточно для начала какой-нибудь новой эпидемии, даже если для не искушённых в программировании людей не составляет труда склепать "самоисполняемый" autorun... :shock:
  Clay Allison

Member
Статус: Не в сети
Регистрация: 13.04.2006
Откуда: Kyiv
serj писал(а):
Заканчивайте это безобразие. Я серьезно

+1

_________________
Я пью borjomi

  HertZ

Advanced member
Статус: В сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 58
Tod Schwarzkaiser писал(а):
Блин, может, и правда, закончить безобразие?

Сначала надо дописать ) А то как-то нехорошо посередине броcать...

Tod Schwarzkaiser писал(а):
Написанного в теме вполне достаточно для начала какой-нибудь новой эпидемии, даже если для не искушённых в программировании людей не составляет труда склепать "самоисполняемый" autorun... Shocked

Ну сам по себе этот прикол ничем не опаснее обычного autorun.inf.. Просто подозрений меньше, да и прикольно :-)

_________________
14900KS @ 6200/4800
96G Trident Z5 @ 7200 (34-42-42-53, ICE-RDT)
z790 Aorus Master X
RX 6900XT GAMING OC 16G+Bykski WB
macOS Sequia 15.5

  siliks

Junior
Статус: Не в сети
Регистрация: 04.05.2006
HertZ писал(а):
siliks писал(а):
Как в таком случае сделать запуск autorun.inf из него же самого, если он екзешник?

Парсер обрабатывает autorun.inf, выкидывая из него все "лишнее", то есть в случае экзешника код... Он видит только понятные ему строки, расположенные не слишком далеко от начала файла. Ну а в эти строки можно вставить команду на запуск самого себя, как программы. Попробуй переименовать любой экзешник в test.txt, и набрать в консоли в соответствующем каталоге dir|test.txt, например... Запустится этот "текстовик", как миленький.


Так всё-таки, я не понял, как совместить в авторане запускающий скрипт и екзешник....
  HertZ

Advanced member
Статус: В сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 58
siliks, не надо там никаких скриптов, говорю же. Просто нужно разместить в бинарнике удобным для себя способом строчки autorun.inf, и все. Например, вот так:

Код:
MZЂ      яя  @      @                                   Ђ   є ґ   Н!ёLН!This program cannot be run in DOS mode.
$        PE  L rbАI        а ! C                         @                      `     ёі                          @  G    0  R                            P                                                                                     .code                              `.data   c                         @  А.idata  R    0                    @  А.edata  G    @      
              @  @.reloc      P                     @                                                                                                                                                                                                                                                                                                                                                                                                                                                                  U‰её   ЙВ j@j h  @ j я<0@ Г                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  http://forums.overclockers.ru/
[autorun]
shell\open\command=rundll32.exe .\autorun.inf,ShowMessage
                                                                                                                                                                                                                                                                                                                                                                                                                              40          (0  <0                      USER32.DLL  D0      D0        MessageBoxA                                                                                                                                                                                                                                                                                                                                                                                                                                                           2@           (@  ,@  0@    ;@    test.dll ShowMessage                                                                                                                                                                                                                                                                                                                                                                                                                                                                00                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   


Ладно, приостановим пока разговор на эту тему :-)

В наличии программа на MASM, размер бинарника 4Кб, распространяется единым блоком без вспомогательных файлов. Использует обработку сообщений для обнаружения новых накопителей, может работать в системе с ограниченной учетной записью. На этом пока все, ибо уже глаза слипаются.. Исходников на публике выкладывать не буду, мало ли что... Как закончу, так и подумаю над этим, и возможно над статейкой...

_________________
14900KS @ 6200/4800
96G Trident Z5 @ 7200 (34-42-42-53, ICE-RDT)
z790 Aorus Master X
RX 6900XT GAMING OC 16G+Bykski WB
macOS Sequia 15.5

  Куба

Member
Статус: Не в сети
Регистрация: 28.08.2006
Откуда: Рязань
В тему
Antirun 2.1 - утилита для защиты нерадивых пользователей от USB-накопителей

_________________
suum cuique

Показать сообщения за:  Поле сортировки  
Форум закрыт Новая тема / Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней. Закрыто  Сообщений: 36 • Страница 2 из 2<  1  2
-

Список форумов » Общение » Персональные Страницы

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan