НУЖНО ДАМПНУТЬ РУТКИТТочнее нужно дампнуть что-то очень подозрительное, чтобы понять, руткит ли оно. Симптомы есть.Есть один странный процесс...В образе никаких метаданных, кроме названия "Registry".Ни родителя, ни пути к файлу.Файла такого нет. Образ, очевидно, вгружен процедурно.Думал дампнуть, чтобы посмотреть, что из себя внутри представляет, ну и на сторонний анализ сдать.Доступ ни для каких операций с этим процессом получить не могу, даже когда с помощью SysInternals/PSTools/PsExec запускаю дампер или дебаггер под учёткой SYSTEM.Как можно поглядеть на содержимое данного образа в памяти?
Я погуглил за тебя, и в интернетах пишут, что это особый калечный процесс, создаваемый из ядра и нужный, чтобы хранить некоторые хайвы реестра, чтоб не читать его каждый раз с диска. Появился с 17063, доступен только для System./thread
>>199876606Так а чё я его из под SYSTEM дампнуть не могу?Где метаданные? Где подпись? Где файл?Чё так подозрительно? Я когда вирусы для лохов писал — тоже их называл как системные файлы и многие так делают, только они палятся именно по этим признакам.Вот если его дампнуть — там уже можно было бы подизассемблять и увидеть своими глазами, то оно делает или не то.
>>199876794System - это имя процесса, а не набор привилегий NT AUTHORITY/SYSTEMУ каждого процесса может быть образ, но совсем необязательно, чтобы он был, как необязательно пытаться через анус кривым шпателем делать биопсию желудочков головного мозга, что происходит в твоем случае.
>>199877225Чё ты сейчас снёс?Я тебе говорю, что дампер под привилениями NT AUTHORITY/SYSTEM запускал — такими же, какие имеет этот странный образ.При этом доступа всё равно не получаю.Как доступ получить?
>>199877406)))))Напиши свое ядро со своими бекдорами, и смотри в любые процессы, сколько тебе влезет. К Memory compression нет таких вопросов?)
>>199875170 (OP)А как ты вообще пришёл к решению проверить эту хуйню? Просто лазил по процессам и проверял каждый?
>>199877537Ну этот пациент — регулярный. Тоже говнисто сделан, конечно. Но он был ещё до того, как у меня пошли странные вещи происходить, а Registry этот недавно объявился.
>>199877791TrueType же к монику калибруется. Недавно вернулся с другого на старый.Щито поделать десу.Хотя надо будет чуток перекалибровать — раньше лучше было.
>>199877744Ну короче началось всё с того, что несколько месяцев назад резко слилось дохуя моих паролей.(Слиться они и раньше с бесчисленных утечек разных сервисов могли, конечно, и может их только сейчас купили и начали долбиться во все мои аккаунты везде, но как быть уверенным..?)Вот. Ну и замечаю странные нагрузки изниоткуда временами. Не майнер, конечно (было), но всё же нестабильно как-то.А главное, что мало того, что у меня бессонница, так и у компа она в какой-то момент началась и даже у телефона с последним апдейтом кастомной прошивки.Я полез в powercfg, смотреть какие дрова не дают ПеКа в спящий уходить, нашёл там Кортану, не смотря на то, что в настройках не стоит дополнительная галка "держать комп врубленным". Выключил Кортану вовсе и в "powercfg /REQUESTS" стало чисто. Ну, думал — починил. Хуй на воротник. Всё равно не спит.Ну стал думать, отчего может комп не спать, чем таким он занят, о чём ни я ни системные средства диагностики не в курсе — всё ведёт к руткиту.Ну и ищу теперь руткит. Этот процесс показался незнакомым. Хотел по-человечески подебажить память. И вот я тут.
>>199878505Как давно в тему эту влился? Видно что много знаешь про процессы, память и вот это всё. Если у тебя много познаний в этой сфере, то как ты мог пропустить вирус на ПК?
>>199878723Всю дорогу в ней.От провалов никто не застрахован.В том и суть эксплойтов, что для того, чтобы чтобы через них что-то подхватить — от тебя не требуется никаких действий, кроме включения ПеКи в публичную сеть.А суть руткитов, чтобы тихонько поселиться на ПеКе, максимально наебать систему в маскировку себя и ждать скриптов/комманд от хозяина руткита, когда придёт время делать вещи.Уже сколько раз были случаи, когда пол-мира каким-то руткитом были заражены, а хозяин про них забывал, так и никто не чесался их детектить, ибо не делали они нихуя.Но я как минимум хочу, чтоб комп спал, а у меня не текли пароли. Не знаю, связаны ли эти события. Как раз проверкой этого и занимаюсь.Шин10, конечно заёбывает своей наглухо отбитой системой прав. Иногда хочется от этого даунгрейднуться.
>>199879283Может ты программист или же ты просто безопасностью занимаешься? Кстати, большая ли вероятность говняк схватить если периодически винду переустанавливаю официальным образом?
>>199879375Чуток работал по этим сферам, но это не делает меня профессионалом.Считай просто хоббиист со стажем.На досуге занимаюсь и кодом, реверсом, датасеком, администрированием и всей вот этой поеботой.Я бы написал на доску о реверсинге, если бы она на двощах была. К программистам лезть не хотел, ибо медленно и не совсем топик.>Кстати, большая ли вероятность говняк схватить если периодически винду переустанавливаю официальным образом?Расплывчатый вопрос. Подхватить тебе ничего не мешает "свежесть" твоей установки. Но избавляться от некоторого говна помогает. От другого — нет, если только ты не вайпаешь все данные целиком.
>>199879660> Я бы написал на доску о реверсинге, если бы она на двощах была.Что за реверсинг? Много слышал когда кое-какой темой занимался, но так и не смог дать нормальное определение. Можешь объяснить что это хотя бы? >От другого — нет, если только ты не вайпаешь все данные целиком.Что подразумевается под полным вайпом? Таки полностью диск форматирую при установке новой винды.
>>199879386Да на Шиндах же уже есть подсистема прыщей, ахах.После того, как они её завезли, я даже дуалбутиться перестал...Эдакое вино-наоборот с б/д и шдюхами.>>199879443Я понял :)Но да, к тому и просранные полимеры и некоторое желание даунгрейда. Только вот на той же ХРюшке оно не надобилось вправду, потому, что права не были всраты Мелкомягкими и официальные образы в памяти нормально подписывались.
>>199875170 (OP)Это внутренний компонент винды, расслабь булки. Руткит блять он нашел.мимо С++ керенл разработчик
>>199879915Года 4. Много чего рассказать могу. Задавай четкие конкретные вопросы, если что-то интересует.
>>199879987В целом про безопасность хотелось бы узнать.И другое, C++ для изучения очень сложен или как? Как процесс обучения у тебя проходил, например в начале сложно было, а затем легко. Какие советы дать можешь?
У ОПа видимо не тот случай, но все же интересно, как анализируют реальный руткит.Предполагаю, что примерно так:1. Комп сразу выключают, чтобы малварь не успела зачистить следы.2. Вытаскивают жесткий диск из зараженного компа и втыкают в чистый, без доступа в интернет.(На случай, если заражен БИОС или еще какое-нибудь говно)3. Загружают с флешки систему для форензики и сравнивают зараженную винду с чистой.4. Вирусня дизассемблируется, при необходимости запускается на тестовой машине с перехватом трафика.
>>199879782У меня небольшое ощущение, что меня троллят, ну да ладно...https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%80%D0%B0%D1%82%D0%BD%D0%B0%D1%8F_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0Как бы начни тут.А в словах, применительно к топику: программы из кода состоят. Пишутся на удобном, но компилируются в очень мелкий и неудобный для человека, но удобный для машины.На этот код можно посмотреть. Ты смотришь на мясо памяти, состоящее отчасти из машинного кода, отчасти из данных и пытаешься логически разобрать по ним, как это говно работает. Можно менять инструкции хоть прямо в памяти, хоть в файле, чтобы он мапался на память уже удобным тебе.Дебаггерами это всё делается обычно.Ну и там дизассемблеры тебе помогают это немного выше уровнем делать в статике. Хекс-редакторы для хекс-редактирования, очевидно. Снифферы для сети. Ну и так далее...Поле широкое и на мой личный взгляд весёлое.Бывает клёво пилить патчи на игоры, например, меняющие их функционал, я уже молчу про взлом любой проги, которая от тебя денег хочет...
>>199880061>Какие советы дать можешь? Тряпку на полу увидишь, не поднимай и не наступай. Наступишь -отпиздят, поднимешь - выебут. Хлеб с пораши не ешь.хорошо, что ты свои дегродские вопросы в /б/ спрашиваешь, в другом месте подумали бы что ты просто даун
>>199880096Гемор и условия не те. Если бы была возможность...>сравнивают зараженную винду с чистойКак ты эти макросистемы сравнивать будешь...>На случай, если заражен БИОСНемножко фантастика, хотя если не BIOS, а эти блядские UEFI, которые теперь везде, то я ещё могу представить.Да, я ретроград.
>>199880153> У меня небольшое ощущение, что меня троллят, ну да ладно...Прости. > Дебаггерами это всё делается обычно.Таки дебаггер же показывает код в ассемблере, так? И затем ты меняешь прямо в памяти этот код на что-то иное? > Бывает клёво пилить патчи на игоры, например, меняющие их функционал, я уже молчу про взлом любой проги, которая от тебя денег хочет...Как, например, можно свои патчи на игре запустить кроме dll очевидной? Много ли способов?
>>199879879А давай теперь представим, что в этот внутренний компонент винды встроился руткит.Как ты снаружи без доступа об этом будешь судить?Блядь...Ну в целом да, надо, видимо, искать дальше...
>>199880061Советую поступить в ВУЗ, если нет возможности, то посети раздел /pr/, там есть загон для каждого ЯП, в каждом треде шапка с материалами, которые должен изучить каждый программист. Также советую выучить английский язык, ибо самого сочного материала на русском просто нет. Сначала будет сложно, в С++ главное не тупить и много практиковаться, прочитал тему - сразу иди баловаться с ней, попробуй реализовать, посмотреть в отладчике как это работает. Вкатывался я около года, завалил наверное собеседований 10, далее понял, где у меня слабые места, подтянул знания и устроился на работку. Вышки нет, вот сейчас ее получаю.
>>199879782>Что подразумевается под полным вайпом?Уничтожение всех данных. Не только Шинды и програм, но и картиночек/архивчиков/документиков, ещё какой дряни. С неисполняемыми данными обычно проблем нет, пока их не делают прокси-исполняемыми всякие эксплойты. Уже в какие только документы за историю провалов датасека код не встраивали...
>>199880207>в другом месте подумали бы что ты просто даунТы переоцениваешь контингент, честно.Просто большинство даунов молчат.
>>199880497Или, как вариант, обходи С++ и иже ООП за километр.Платят не только за извращения с кодом.
>>199880096Никто не анализирует зараженные файлы на рабочем компьютере, весь анализ проводится на подготовленной виртуальной машине.Сначала код анализируют статически, ищут подозрительный импорт, подозрительные строки, смотрят на дизасемблированный код, делают определенного рода выводы и разрабатывают дальнейшую стратегию анализа файла. Если вердикт - упаковщик/лоадер, то нужно добраться до следующего этапа атаки малвари и достать конечный файл. Если файл уже конечный, то остается только воспроизвести полную картину того, чем он занимается в системе. Это если вкратце.
>>199880583Вот к этому претензий нет — там то действительные массовые эксплойты вскрывались.Да и что за дебильная идея у Интелодаунов была сделать ОС в процессоре...Как только случился тот ажиотаж — я сразу же съебал на Ryzen и ни чуточку не пожалел с тех пор.
>>199880162Руткиты могут быть в любых чипах с возможностью программной записи и последующего исполнения. А таких сейчас дохуя в компе. Процессоры, сетевые карты, уефи, жесткие диски. Во всех процессорах встроен маленький компьютер со своей операционной системой (Intel ME, AMT). >>199880315> сравнивают зараженную винду с чистой> Как ты эти макросистемы сравнивать будешь...Система на диске это же просто набор файлов. Берешь и сравниваешь. Потом ищешь аномалии.Не знаю, есть ли такие бесплатные программы, но платные давно есть.
Кто-нибудь обмазывался всякими специализированными автоматизированными средствами детекта руткитов, типа какого-нибудь UnHackMe?Стоит вообще трогать их?
Сап, двач. Можно ли написать эксплойт на питоне нахуй? Вкатываюсь в питон, думаю вирусы написать в целях ознакомления, естественно
>>199880391Не может он туда вставиться. Компонент изолирован и защищен специальными средствами ОС, ты же его сдампить не можешь? Ну и руткит тоже ничего сделать не может. Кроме того, это не полноценный процесс, так что с ним ничего интересного сделать нельзя априори.>>199880497Не за что. Тебе тоже удачи, анончик. >>19988062625
>>199880686На словах то звучит.На практике овердохуя вариативности.Посыл я понял, но>Гемор и условия не те.
>>199880744PCHunter, правда под последний билд 1903 винды все еще не обновили. Трогать стоит, очень интересные вещи можно узнать о том, где может засесть вирус, да и вообще об ОС в целом.>>199880752Какую-нибудь банальщину можно написать на чем угодно. В целях ознакомления питон подойдет. Лучше антивирус попробуй написать, чем страдать херней. Вот это действительно интересно будет и полезно.>>199880892И то и другое пришлось сдавать.
>>199880317>показывает код в ассемблереНекорректная формулировка.Показывает машинный код с обратной интерпретацией оного в опкоды по заданному оффсету.Но на просторечии, можно и так сказать. Привыкай, что это педантичная среда.>ты меняешь прямо в памяти этот код на что-то иноеДа. Как вариант.Если руки чешутся — возьми Cheat Engine. Это полноценный дебаггер, на самом деле, хоть репутация у него не та. Немного кривоваты интерфейсы, но суть в том, что с ним поставляется туториал, который в игровой форме учит реверсу поэтапно наращивая сложность.>Много ли способов?Не понял вопроса.Ты Бог и король для данных — чё хочешь, то с ними и делаешь.
>>199880809А что ты смеёшься? Есть же специальные конверторы в exe. Troyan.pythonmaster.exploit.exe создать с функцией маскировки и морфинга, пиздец твоему пк.
>>199880809Ну, оно технически там типа поддерживает какую-никакую компиляцию на некоторых версиях...И обернуть можно всегда любую интерпретарщину.Другое дело — зачем молотком микроскопы забивать...
>>199880959> Лучше антивирус попробуй написать, чем страдать херней. Вот это действительно интересно будет и полезно.Чтобы написать хороший антивирус, нужно уметь писать хорошие вирусы.
>>199880759>ты же его сдампить не можешь? Ну и руткит тоже ничего сделать не можетЯ это из сеанса пользователя делаю в рантайме, хоть и с пробросами под систему, а он может там как-то хитро попрортить файлы до winlogon'а, например, чтобы образ формировался уже с говном, а чтобы это не детектилось — попортить проверки.Да вот, кстати, не так давно был баг на системе — Шинда в упор не считала просроченность сертификатов проблемой. Я только не знаю, баг ли это Шинды просто накриворучили Мелкомягкие или же у меня что-то сломано.
>>199880800За написание кода без изврата с ООП тоже платят.ООП мертворожден. Половина людей пишут на нём не как задумано и оттого имеют проблемы, другая половина пытается писать как задумано и имеет проблемы именно от этого, ибо задумано криво.А уж разбираться в чужом ООП коде — это смертоубийство. А этим при устройстве на работы частенько приходится заниматься.Короче, я тут холивор не пытаюсь устроить оффтопиком. Нравится мучаться в ООП — щито поделать десу. На здоровье.
>>199881168Немного не так работает.Писатель вирусов может делать это хорошо, но написать хорошее защитное решение не сможет.Разработчик защитных решений может делать хорошо и то и другое.>>199881247Не баг, а фича! Так и должно работать.
>>199881168Двачую.Либо напишешь ESET NOD32, который на запуске всех поразил тем, как быстро он делает НИХУЯШЕНЬКИ.Либо НЕ напишешь по-настоящему годный антивирус без большого коллективного труда длинною в декаду.Разработка добротного антивируса из бесконечного кропотливого реверса состоит чуть более, чем наполовину.
>>199881008У Шин10 много плюх, ради которых я пришёл и из-за которых не хочется уходить, очевидно же.
>>199881409>Так и должно работать.Дак ко мне так однажды майнер пришёл подписанный просрочкой. Даже успел чуток помайнить.Хорошо я его вручную заметил и выкинул за борт.Изначально взглянул на сертификат — годный, ну значит не penis canina. А оказался ещё какой пенис и сертификат нихуя не годный.
>>199881337Научился кодить на си под линукс и такое же мнение сложилось.На си можно писать идеальные программы. На джаве сколько не пытался всегда получалась хрень. Но все же, как мне кажется, у каждого инструмента есть свое применение.Абстракции и паттерны джавы могут переусложнять программы, но помогают энтерпрайзу отделить код от программиста, удешевить разработку.
>>199881415Конкретно в разработке антивируса реверса минимум. Важно использовать документированный и легитимный функционал ОС, дабы не было проблем с совместимостью. Тут скорее больше ресёрча, чем реверса.
>>199881597>помогают энтерпрайзу отделить код от программиста, удешевить разработку. В этом идея. Да. На словах.На деле часто видел именно в компаниях еблю и сдающие нервы при попытках убираться за ушедшим сотрудником.
>>199881675Сигнатуры нарезаются автоматически во многих конторах. В других конторах их закупают/шарят. Сигнатурный детект уже вымер давно, это безусловно важная часть, но далеко не самая.
>>199879879Как перекатиться из тестировщиков в программисты? Знаю С++ очень хорошо, но вместо кода пишу тесты для чужого кода, пиздос!
>>199882739>Эвристика?>Поведенческий анализ.Это же оно и есть. И вот тут как раз реверс пригодится.>Зондирование?>Предотвращение заражения.Угу, но я надеюсь речь не о бабкиных методах с подорожником и ограничении пользователя во всём.>>199882739Как минимум, сменить место работы. Внутри компаний очень трудно менять позицию и зарплату, но вот взяв свой опыт и навыки на собеседование в другой — можно как раз затребовать те условия, которых достоен.
>>199882870>Внутри компаний очень трудно менять позицию и зарплату, но вот взяв свой опыт и навыки на собеседование в другой — можно как раз затребовать те условия, которых достоен.Это и так понятно.
>>199882888Ну так а в чём проблема тогда?>Знаю С++ очень хорошоВот это в собеседовании на вакансию программиста и докажи.Если даже где-то что-то сомневаешься — иди джуниором для начала.
>>199882999Про дебаггер я в шапке написал.Доступа нет.Да и не важно уже, считаем, что это — ложная треваога.Ищу руткит в других местах.
>>199882963Так бы сразу и сказал, кек.А то я сам в QA работал тестером.В зависимости от HR-политики компании, инженерам всё равно приходится писать юнит-тесты для своих программ.Но если ты только их и пишешь, то грустно как-то.Если тебя это беспокоит сильнее, чем поиск новой работы, то зашевелись, да выскажи техническому директору, тимлиду, или директору, смотря как у вас там структура устроена, прямо, что не хочешь больше этим заниматься, мол, квалифицированный специалист и хочешь приносить реальную инженерную пользу. Ультиматумы перед увольнением иногда работают, хотя может и послать.Тогда уже на новом месте устраивайся не джуном, например.
>>199883315Просто у нас в стране не особо распространена корпоративная практика интернов нанимать.А потому вместо них всю грязь льют на джунов и поддержку.
>>199883315>Тогда уже на новом месте устраивайся не джуном, например.Проект закончить хотя бы хочется, будет уже год работы, уже что-то.
>>199883457>будет уже год работыДа, для "опыта работы" круглая цифра пригодится.>Проект закончитьТолько там не позволяй себя уламывать остаться ради проекта на старых условиях после того, как ты решишь уйти. А то в некоторых компаниях "проект" никогда не заканчивается.
>>199883541Ладно. Вообще я тут многому научился, хочется уже всё это на практике применять, а вместо этого тесты всратые пишу. Ну йобана. Ладно, спать пойду. Добра.
>>199875170 (OP)>Как можно поглядеть на содержимое данного образа в памяти?Примерно в такой же ситуации я сделал p2v, не особо парясь, Disk2vhd.Потом запустил это в виртуалке, дождался, когда процесс стартанул и начал выдавать эффекты.Потом засуспендил и выдрал образ из памяти. В моем случае код хранился в ADS, потом разобрался и нашел, как оно попало ко мне.
>>199883772Если кому интересно, откуда прилетело - это была отдельная чистая тестовая машина, на которой я отдельно разрабатывал и отлаживал один чудной проект.Для него потребовались библиотеки от Telerik, которые я в ломаном виде нашел на торрентах. Нужно было очень срочно сделать задачу, так что подписи файлов не проверил. В одной либе, которая была нужна (UI) оно и было прицеплено.Потом уже нашел нормальную не всратую версию.
>>199883772Хм. Хорошая идея. Я даже не подумал об этом.Напомнило, как я однажды купил SSD, замапал его в виртуальный диск под VirtualBox с прямым I/O (тогда это было эксперементальной фичей), накатил туда Семёру, сверху сделал апгрейд до Шин10, чтобы получить бесплатную цифровую лицензию, а затем просто загрузил родную машину с того диска.Почему-то весело вспоминать.>засуспендил и выдрал образ из памятиА можно чуть подробней, об этом?Я не так много с виртуалками работал, чисто по нужде.Ты дампнул образ всего VM-хоста и в нём ручками нашёл образ виртуализированного процесса? Он в прямом виде там хранится?Или же в VM-хосте были инструменты для дампов отдельных виртуализированных образов?
>>199880959>PCHunterКитайская тулза.Ковыряю её сейчас...Пользуюсь отечественным аналогом уже лет 12 примерно.На пикриле херь какая-то. Пока не понял.
Дошёл до Ring0 и там нахуй всё в хуках...Ладно, без паники, у меня же всегда павертулы всякие стоят. Тот же Sandboxie мог хуков для виртуализации накидать.Надо дизассемблить и инспектить потихоньку...
