Этого треда уже нет.
Это копия, сохраненная 1 декабря 2018 года.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
14960814264800.jpg922 Кб, 1000x1333
Одей сплоеты 34641 В конец треда | Веб
У знакомого на серваке перестали работать некоторые функции сайтов связанные с графикой. Ну а хули, яж одмен. Стал копаться. Понимаю, что код должен выдавать одни заголовки, но что-то их портит и возникает ошибка.

Накопал измененный php.ini : output_handler = ..
и библиотечку из php - pdo.so. Зачистил и удолил там все.
Теперь заливаю pdo.so на virustotal - никто не ловит этот файл.

Че это, блять, за хуйня?
Те самые провительственные хакеры применяют одей-сплоеты и вставляют людям говно?

Как бы вы дальше пытались действовать? Хочу понять что там в pdo.so, а дизассемблер копать не хочу.
Реинсталлить наверное буду, но наверное у него денег не будет на такое.
2 36857
>>34641 (OP)
Лей сюда, может какой-нибудь анон заинтересуется и дизассемблирует.
3 36858
>>34641 (OP)

>Теперь заливаю pdo.so на virustotal - никто не ловит этот файл.


>Че это, блять, за хуйня?


Эта хуйня называется "спермодебил полез в линукс". Попробуй назвать хотя бы одну причину, по которой антивирусы для Windows будут иметь в своих базах сигнатуры malware для других ОС.
4 36860
>>34641 (OP)
Выкладывай, отдизасмлю твою малварь.
>>858

>Попробуй назвать хотя бы одну причину, по которой антивирусы для Windows будут иметь в своих базах сигнатуры malware для других ОС.


Теплое с мягким путаешь. Какой-нибудь условный доктор веб есть под все платформы. А база сигнатур у него одна на всех. Так что емли захочешь скачать себе на винду линуксового троянчега, пхп-шелл или .apk вредоносный - этот условный доктор веб их заблокирует, хотя они и для другой системы.
5 36868
>>858

>сигнатуры


Дважды долбоёб.
6 36888
>>860
А теперь пойди посмотри, сколько в базе твоего доктора веба сигнатур (что сказать хотел >>868-кудах?) спермомалвари, а сколько остальных.
7 36889
>>888
Трижды долбоёб.
8 36891
>>888

>А теперь пойди посмотри, сколько в базе твоего доктора веба сигнатур спермомалвари, а сколько остальных.


>>858

>Попробуй назвать хотя бы одну причину, по которой антивирусы для Windows будут иметь в своих базах сигнатуры malware для других ОС.


О - отрицание
9 36893
Помню, какой-то антивирус, установленный у меня, находил в паке jar файлов с телефона какую-то якобы малварь, рассылающую платные смс привет из нулевых
sage 10 36901
>>889>>891

>кудах

11 36902
>>901
- Смотри, дед, лалка сасай делает.
- Лол.
sage 12 36907
>>902

>кудкудах

13 36908
>>907
- Смотри, дед, лалка relrelf[ делает.
- Лол.
sage 14 36912
>>908
Кудахтер, ты всегда в двух тредах одновременно обсираешься или только по понедельникам?
15 36913
>>912
Ответь, лалка говорящая, ловят виндовые антивирусы малварь от других осей? Или опять спермой плеваться будешь?
16 36916
>>913
Десяток-другой и ловят, может.
А ты всё надеешься на магию, которая волшебным образом распознает бекдор в libhuy.so?
17 36920
>>916

>Десяток-другой и ловят, может.


Во, обучаемый все-таки.

>надеешься на магию, которая волшебным образом распознает бекдор в libhuy.so?


Эвристику (какой бы он ни была) никто не отменял.
18 36921
>>920
Особенно если эвристика основана на 1000000000 примеров libhuy.dll и 1000 libhuy.so, да? Всё-таки верим в магию, видимо.
19 36923
>>921

>если эвристика основана на 1000000000 примеров libhuy.dll и 1000 libhuy.so, да?


А с чего бы ей быть на ней основанной? Она основана на образцах малвари и ее поведения.
Например:
Секция кода с атрибутом записи или смена атрибута во время выполнения.
Точка входа указывает на секцию данных. Расшифровка кода в секции кода.
Выделение памяти с передачей туда управления.
Всякие строки, которые встречаются в малвари (/etc/shadow например).
Последовательности ассемблерных инструкций, не характерных ни для одного компилятора с любыми режимами оптимизации.
Типичная последовательность вызовов API (DownloadFromInternet, Execute, Remove)
и т.д.
Эвристика давно уже не сигнатурный, а поведенческий анализатор. Причем поведенческий без запуска кода, все на эмуле и графе выполнения.
20 36924
>>923
Ну и добавлю что эвристику конечно же можно обойти. Да и граф выполнения делается не для всего исполняемого файла, а только для некоторого начала, чтобы не затягивать процесс сканирования.
Короче там что-то типа системы флагов. Чем больше подозрительных флагов файл собирает, тем выше вероятность его детекта.
А еще есть проактивка...
21 36925
>>923
Да чего ты время тратишь, он только кудахтать и утрировать теперь способен, нельзя же признать, что обосрался.
22 36931
>>923

>основана на образцах малвари и ее поведения


Из которых 1000000000 малвари под винду и 1000 — под остальные ОС. Подумай, насколько большая мотивация у антивирусных контор для того, чтобы ебаться с детектированием возможной малвари эвристикой в прыщекоде с учётом того, что основная ОС это Windows, а на прыщах их используют разве что в качестве файлового антивируса в мейл-серверах для защиты той же Windows.
Факты простые, они описаны в оп-посте и говорят в пользу моего тезиса:

>заливаю pdo.so на virustotal - никто не ловит этот файл.



Маняфантазии про state-of-the-art malware в упомянутом pdo.so это просто пиздец какой-то. Там наверняка обычная замена/добавление текста для вставки рекламы в страницу, выглядящая для поведенческого анализатора как безобидный сторонний модуль.
23 36932
>>931
Начал с

>Эта хуйня называется "спермодебил полез в линукс". Попробуй назвать хотя бы одну причину, по которой антивирусы для Windows будут иметь в своих базах сигнатуры malware для других ОС.


а закончил

>кококо

24 36938
>>932

>кококо


Ясно.
25 36939
>>931

>Подумай, насколько большая мотивация у антивирусных контор для того, чтобы ебаться с детектированием возможной малвари эвристикой в прыщекоде с учётом того, что основная ОС это Windows, а на прыщах их используют разве что в качестве файлового антивируса в мейл-серверах для защиты той же Windows.


Им не нужна "мотивация", им нужно вирлист иметь больше чем у конкурентов. Поэтому туда заносится все, даже зловреды для KolibriOS и прочей экзотики. Поэтому и ловится на винде, например, backdoor.php-shell.generic, даже если он через eval(gzinflate(base64_decode())) заделан, а на системе и php никогда не было.
Да и детект и добавление в базу происходит в автоматическом режиме, вручную ковыряются в семплах очень редко, около 1% от всей массы зловредов.
>>931

>Там наверняка обычная замена/добавление текста для вставки рекламы в страницу, выглядящая для поведенческого анализатора как безобидный сторонний модуль.


Я же говорил, что эвристику можно обойти?
Так же в свое время для винворда макровирусы никто не ловил, потому что это был безобидный сторонний документ. Или как с stuxnet'ом было.
Как только технологию сдетектят - так она в эвристик и попадает.

А, вспомнил еще, на вирустотале используют немного урезанные версии антивирусов, чтоб не вылетать с таймаутами.
26 36942
>>939

>туда заносится все


Стало быть, у опа супер-современный никем не исследованый вирус, ага.
27 36944
>>942

>у опа вирус


Ага, надейся.
28 36945
>>942
Мы вообще не знаем что там у ОПа, сам файл он так и не предоставил. А зря, я бы задизасмил.
Тред утонул или удален.
Это копия, сохраненная 1 декабря 2018 года.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
« /crypt/В начало тредаВеб-версияНастройки
/a//b//mu//s//vg/Все доски