Это копия, сохраненная 1 декабря 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Накопал измененный php.ini : output_handler = ..
и библиотечку из php - pdo.so. Зачистил и удолил там все.
Теперь заливаю pdo.so на virustotal - никто не ловит этот файл.
Че это, блять, за хуйня?
Те самые провительственные хакеры применяют одей-сплоеты и вставляют людям говно?
Как бы вы дальше пытались действовать? Хочу понять что там в pdo.so, а дизассемблер копать не хочу.
Реинсталлить наверное буду, но наверное у него денег не будет на такое.
Лей сюда, может какой-нибудь анон заинтересуется и дизассемблирует.
>Теперь заливаю pdo.so на virustotal - никто не ловит этот файл.
>Че это, блять, за хуйня?
Эта хуйня называется "спермодебил полез в линукс". Попробуй назвать хотя бы одну причину, по которой антивирусы для Windows будут иметь в своих базах сигнатуры malware для других ОС.
Выкладывай, отдизасмлю твою малварь.
>>858
>Попробуй назвать хотя бы одну причину, по которой антивирусы для Windows будут иметь в своих базах сигнатуры malware для других ОС.
Теплое с мягким путаешь. Какой-нибудь условный доктор веб есть под все платформы. А база сигнатур у него одна на всех. Так что емли захочешь скачать себе на винду линуксового троянчега, пхп-шелл или .apk вредоносный - этот условный доктор веб их заблокирует, хотя они и для другой системы.
Кудахтер, ты всегда в двух тредах одновременно обсираешься или только по понедельникам?
Ответь, лалка говорящая, ловят виндовые антивирусы малварь от других осей? Или опять спермой плеваться будешь?
Десяток-другой и ловят, может.
А ты всё надеешься на магию, которая волшебным образом распознает бекдор в libhuy.so?
>Десяток-другой и ловят, может.
Во, обучаемый все-таки.
>надеешься на магию, которая волшебным образом распознает бекдор в libhuy.so?
Эвристику (какой бы он ни была) никто не отменял.
Особенно если эвристика основана на 1000000000 примеров libhuy.dll и 1000 libhuy.so, да? Всё-таки верим в магию, видимо.
>если эвристика основана на 1000000000 примеров libhuy.dll и 1000 libhuy.so, да?
А с чего бы ей быть на ней основанной? Она основана на образцах малвари и ее поведения.
Например:
Секция кода с атрибутом записи или смена атрибута во время выполнения.
Точка входа указывает на секцию данных. Расшифровка кода в секции кода.
Выделение памяти с передачей туда управления.
Всякие строки, которые встречаются в малвари (/etc/shadow например).
Последовательности ассемблерных инструкций, не характерных ни для одного компилятора с любыми режимами оптимизации.
Типичная последовательность вызовов API (DownloadFromInternet, Execute, Remove)
и т.д.
Эвристика давно уже не сигнатурный, а поведенческий анализатор. Причем поведенческий без запуска кода, все на эмуле и графе выполнения.
Ну и добавлю что эвристику конечно же можно обойти. Да и граф выполнения делается не для всего исполняемого файла, а только для некоторого начала, чтобы не затягивать процесс сканирования.
Короче там что-то типа системы флагов. Чем больше подозрительных флагов файл собирает, тем выше вероятность его детекта.
А еще есть проактивка...
Да чего ты время тратишь, он только кудахтать и утрировать теперь способен, нельзя же признать, что обосрался.
>основана на образцах малвари и ее поведения
Из которых 1000000000 малвари под винду и 1000 — под остальные ОС. Подумай, насколько большая мотивация у антивирусных контор для того, чтобы ебаться с детектированием возможной малвари эвристикой в прыщекоде с учётом того, что основная ОС это Windows, а на прыщах их используют разве что в качестве файлового антивируса в мейл-серверах для защиты той же Windows.
Факты простые, они описаны в оп-посте и говорят в пользу моего тезиса:
>заливаю pdo.so на virustotal - никто не ловит этот файл.
Маняфантазии про state-of-the-art malware в упомянутом pdo.so это просто пиздец какой-то. Там наверняка обычная замена/добавление текста для вставки рекламы в страницу, выглядящая для поведенческого анализатора как безобидный сторонний модуль.
Начал с
>Эта хуйня называется "спермодебил полез в линукс". Попробуй назвать хотя бы одну причину, по которой антивирусы для Windows будут иметь в своих базах сигнатуры malware для других ОС.
а закончил
>кококо
>Подумай, насколько большая мотивация у антивирусных контор для того, чтобы ебаться с детектированием возможной малвари эвристикой в прыщекоде с учётом того, что основная ОС это Windows, а на прыщах их используют разве что в качестве файлового антивируса в мейл-серверах для защиты той же Windows.
Им не нужна "мотивация", им нужно вирлист иметь больше чем у конкурентов. Поэтому туда заносится все, даже зловреды для KolibriOS и прочей экзотики. Поэтому и ловится на винде, например, backdoor.php-shell.generic, даже если он через eval(gzinflate(base64_decode())) заделан, а на системе и php никогда не было.
Да и детект и добавление в базу происходит в автоматическом режиме, вручную ковыряются в семплах очень редко, около 1% от всей массы зловредов.
>>931
>Там наверняка обычная замена/добавление текста для вставки рекламы в страницу, выглядящая для поведенческого анализатора как безобидный сторонний модуль.
Я же говорил, что эвристику можно обойти?
Так же в свое время для винворда макровирусы никто не ловил, потому что это был безобидный сторонний документ. Или как с stuxnet'ом было.
Как только технологию сдетектят - так она в эвристик и попадает.
А, вспомнил еще, на вирустотале используют немного урезанные версии антивирусов, чтоб не вылетать с таймаутами.
Мы вообще не знаем что там у ОПа, сам файл он так и не предоставил. А зря, я бы задизасмил.
Это копия, сохраненная 1 декабря 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.