Обсуждения и предложения на тему создания новых лечащих утилит

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
regist, нажал не помогло. а где настройки восприятия объективной реальности? я имбицил))))
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Если туда зайти с носкриптом, то будет жесткий спойлер :)

Щас у каждого второго юзверя на форумах трабла - в одноглазники зайти не может (а это для них не лучше чем локер, т к комп все равно тока для соцсетей используется). Почему бы не покопать сюда?
Может подумаем на эту тему для начала? Что должна уметь такая утилита (только конкретно, можно даже в виде тех.задания)? По сути, набор функций/классов для реализации подобного у меня есть, так что разработка не должна быть очень долгой...
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Что должна уметь такая утилита
делать юзверю хорошо

Добавлено через 5 минут 54 секунды
а чуть чуть конкретнее - находить причину блокировки и снимать ее. Способов може т быть оч много, сами понимаете
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
а чуть чуть конкретнее - находить причину блокировки и снимать ее. Способов може т быть оч много, сами понимаете
Вот именно. И предлагаю начать обсуждение. Пример:
1. заглядвать в файл хостс и предлагать его почистить

Это пример общего задания. Затем можно перейти к частностям. Например:
если ос == хр, то тащить путь до хостса из реестра, а если ос выше, то долбить по фиксированному пути ...

вот как-то так предлагаю обсуждать. кто как может. предложите и вы с каким способом она должна и как бороться.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
1. заглядвать в файл хостс и предлагать его почистить
это только один из способов и самый примитивный. к тому же про него знают большинство юзверей_которые_сидят_в_соцсетях. я предлагаю вам самостоятельно поизучать логи из разделов лечения на разных форумах с такими проблемами.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
я предлагаю вам самостоятельно поизучать логи из разделов лечения на разных форумах с такими проблемами.
Сашка, на нужно много времени. Если ты хочешь помочь в разработки утилиты, то было бы намного полезней если бы по собственному опыту - который есть у тебя как у хелпера указал бы на эти нюансы.

2) Троянские DNS
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
это только один из способов и самый примитивный. к тому же про него знают большинство юзверей_которые_сидят_в_соцсетях. я предлагаю вам самостоятельно поизучать логи из разделов лечения на разных форумах с такими проблемами
как-то меня малость начинает напрягать, что вы меня все время куда-то посылаете. если вам нечего предложить и вы не собираетесь участвовать в обсуждении (составлении т.з), то зачем по несколько сообщений писать одно и тоже? я ведь написал, что я предлагаю людям поучаствовать в обсуждении на тему создания новой лечащей утилиты - так ведь эта тема называется, не? потому, имхо, несколько некорректно выгонять меня отсюда пинками в раздел "помогите". Всяко проще, когда делать что-то сообща. Тем более, что я пишу везде, повтояряясь по несколько раз: для примера, упрощенно и т.д. Я лишь пытаюсь вытянуть общественность на конструктивное обсуждение в правильном русле. У меня есть некий опыт промышленного (проще говоря, это мой хлеб уже много лет) программирования, имею представление, как правильно организовывать процесс разработки продукта. Потому и выстраиваю некую канву, описываю самые примитивные примеры и задачи на которые стоит оглядываться, а вы в каждом сообщении общими фразами и отмашками сводите все на нет.
Где-то пробегала ссылка на киберфорум, где пытаются делать свой антивинлокер... вот там можно видеть некое подобие к чему можно прийти для _начала_ при открытой добровольной разработке, и то, это очень-очень нечетко и по уму (главное при желании участников заниматься чем-то серьезно, а не лясы точить) организационная схема и процесс разработки-тестирования намного сложнее.

Для начала, желательно, силами сообщества прийти к схеме, от которой уже можно отталкиваться:

Список распространенных методов блокировки захода на сайты:
1. хостс
2. либа в АП
3. плагин
4. static path
5. spoof dns
и т.д
Далее более конкретное описание (техническое) каждого метода:
1. файл находится там-то и там-то в такой-то такой-то ОС. формат файла такой. по дефолту должна быть такая-то запись.
2. ...
Методы лечения:
1. Считывать, анализировать, делать алерт (или не делать алерт, а молча тереть), предлагать сохранить данные и вручную ребутнуть комп. Варианты интерактива ...
2. ...

Вот как-то так. Если каждый попытается взять на себя один пункт и раскатать его в трех секциях (способ, описание, лечение), то это уже будет нормальным началом. Уже хотя бы можно будет определиться, кто хочет и может участвовать в проекте, а кто просто зашел поговорить.
Без обид.
по-моему, я не перегибаю, ведь не призываю к дэйлискраму, спринтам, свн и прочим радостям :)

PS: во, пока печатал свой монолог, regist про пятый пункт упомянул :) Уже дело с мертвой точки сдвинулось)
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
я думаю, разработчик сам должен понять эти механизмы, поэтому почитать логи будет не лишне.


записи в hosts
подмена DNS
подмена hosts
статические маршруты к сайтам
подключение через прокси-сервер
изменение настроек браузеров
подключение плагинов\надстроек к браузерам без ведома пользователя
изменение настроек сетевого подключения
проблемы со стороны провайдера
дописки левого путя в ярлыке браузера
подмена\патчинг системных файлов итд итп
внедрение торянских библиотек и тд,
туева хуча, одним словом
 
Последнее редактирование:

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
когда-то я был в команде на вирусинфо пока наша команда не распалась (началом был уход Вайза и Акока, затем бодания Виталия, Зайцева, Алекса, АнтонДр...), так что не надо в каждом сообщении пытаться мне сказать, что я умею только кодить, а как работает малварь без понятия.

если вы более подробно опишете эти методы, то будет хорошо. мне, например, непонятно, что значит "подмена хостс". имеется в виду, что в хр меняется в реестре путь до etc или что?

Добавлено через 6 минут 51 секунду
1. хостс
2. либа в АП
3. плагин
4. static path
5. spoof dns

записи в hosts (1)
подмена DNS (5)
подмена hosts (1)
статические маршруты к сайтам (4)
подключение через прокси-сервер (каким способом чаще это делают? через конфиг браузера?)
изменение настроек браузеров (парсинг конфигов, предлагаю в третий пункт)
подключение плагинов\надстроек к браузерам без ведома пользователя (3)
изменение настроек сетевого подключения (подробнее каких именно)
проблемы со стороны провайдера (проблемы индейцев)
дописки левого путя в ярлыке браузера (start page simulate, инет не блочит, но тоже можно подумать о лечении)
подмена\патчинг системных файлов итд итп (zekos)
внедрение торянских библиотек и тд, (appinit, remote inject, plugin - (2))

Давайте подробнее :)
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
а как работает малварь без понятия.
а зачем тогда вам посторонняя помощь? давайте готовую концепцию, обсудим.
непонятно, что значит "подмена хостс"
когда создается фейк
(каким способом чаще это делают? через конфиг браузера?)
рассматривайте все. и через браузеры\один браузер, и через сетевые настройки
изменение настроек сетевого подключения
dns, роуты, прокси, по сути, это и так перечислено.

что еще подробнее? я вот собрал щас в кучу что голову пришло, но это не все способы.
 
Последнее редактирование:

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
по сути все эти способы вкратце я и сам выше перечислил, а в своем предыдущем постое чуть расширил в скобках, дабы поболее конкретики было. но в сообщении #47 я описал к чему желательно прийти. можно к этому прийти и самому, а можно и всем вместе. осилите хотя бы один пункт или лень и нет времени/желания?))
вот в том, то и сложной свободного ПО, что советчиков тьма, а когда нужно реально начать работать, то пшик.

По поводу хостс? что значит создается фейк? никак не могу понять. смена пути до хостса или создание хостса с русской буквой о, а оригинал => скрытый - это тоже можно назвать фейками, но имеете вы это в виду или что-то иное - мне неведомо.
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
лень и нет времени/желания?
и то и другое и третее, ну я то здесь не один)))
что советчиков тьма
пока что не вижу объекта для обсуждения.

Добавлено через 3 минуты 22 секунды
По поводу хостс? что значит создается фейк? никак не могу понять. смена пути до хостса или создание хостса с русской буквой о, а оригинал => скрытый - это тоже можно назвать фейками, но имеете вы это в виду или что-то иное - мне неведомо.
сегодня один способ в ходу, завтра появится другой, так что рассматривать я думаю стоит все способы - и это, и то и другое.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,484
Баллы
638
непонятно, что значит "подмена хостс"
Вот такие записи ещё в автозагрузке
Код:
cmd.exe /c copy C:\Documents and Settings\Root\Local Settings\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

Исправляйте hosts сколько угодно после перезагрузки он опять подменится.
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
glax24, это тока один способ, wcloser, хочет все.
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Вот это интересный вопрос - я думал как быть, если зловред сидит внутри компа и время от времени сбивает настройки. В идеале тулза должна уметь все, но по факту, получится лишь лечить хостс и может быть пару распространенных малварей находить по адресу/примитивному хэшу.

Вот такой вариант еще возможен (дернул с одного своего хонипота из логов)
CmdStr: "C:\WINDOWS\system32\cmd.exe" /c at 10:18:00 /every:T,M,Th,F,W,S,Su cmd.exe "/c attrib -H C:\WINDOWS\system32\drivers\etc\hosts && copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\297203 C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts

Вариантов, по сути много. Нужно определится с т.з. В сообщении 47 я предложил как вы мне можете помочь. Сможете - разработка будет идти быстрее. Не сможете (не захотите), сам сделаю, но подольше, т.к придется мысли воедино собирать, писать все это и т.д
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
если зловред сидит внутри компа и время от времени сбивает настройки.
но ведь и такой вариант может быть. если у вас есть опыт подобных разработок, вам понятнее, чем, например, мне, как это можно все собрать воедино.

Поскольку вариантов каждого из вами же перечисленных способов создания юзверю проблем неисчислимое множество, думаю, стоит опираться на норму. А как реализовать, вот, например, автоматическое возвращение сетевых настроек к нормальным, кроме прописывания гуглоднс (но и это не для всех канает) я и представить себе не могу.
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Попробую вывести некие приоритеты, на которые попробую опереться при разработке. Популярные методы перенаправления пользователей или встраивания постороннего кода в браузер (по убыванию и актуально лишь на сегодняшний день):
1. Хостс (Модификация единоразовая, модификация через автозапуск параметрами к cmd, заданиями в определенное время, просто ехешник, который в системе много чего делает + имеет функции редактирования хостса).
2. Внедрение через AppInitDlls (классификация по ЛК: ShipUp)
3. Установка левого днс
4. Статические маршруты
5. Аддон в браузер
6. Патчинг rpc...
7. Изменение настроек самого браузера, например вписывание туда подключение через проксю.
8. далее... вначале бы с предыдущим разобраться... :)

При этом, мы опускаем возможность блокировки доступа/перенаправления, через хуки, т.к для вычищения малвари с компьютера должны быть другие инструменты, если мы точим тулзу, для разблокировки инета, то не нужно пытаться сюда засунуть полноценный антируткит и антивирус.

ЗЫ: еще не теряю надежды, что кто-то присмотрится к сообщению 47 и поможет мне :)
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
если вы про это
Далее более конкретное описание (техническое) каждого метода:
1. файл находится там-то и там-то в такой-то такой-то ОС. формат файла такой. по дефолту должна быть такая-то запись.
2. ...
Методы лечения:
1. Считывать, анализировать, делать алерт (или не делать алерт, а молча тереть), предлагать сохранить данные и вручную ребутнуть комп. Варианты интерактива ...
2. ...
тогда:

1. файл находится где угодно, прописан в автозапуск, форматы разные

Методы лечения:
2. считывать, анализировать, левое удалять, измененное - возвращать к норме. Варианты интерактива - а это хз, зависит от вашей концепции. Есть смысл кодить еще один HijackThis? Смотря что за тулза будет и для кого - для юзверей_сделайте_мне_хорошо или для хелперов с получением лога и поддержкой скриптов?
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
1. файл находится где угодно, прописан в автозапуск, форматы разные
Методы лечения:
2. считывать, анализировать, левое удалять, измененное - возвращать к норме.
не, такого не надо )))
попробуйте 5 пункт изучить. на это много времени уходит. в таких вещах больше времени уходит не на кодинг, а на исследования и тестирования. когда десяти строчкам кода может предшествовать несколько дней изучения _что_ именно нужно закодить. браузеров, как минимум три-четыре. надо выяснить по каким путям лежат/могут лежать аддоны, где (реестр/файл) прописаны, как их безопасно вырвать не через интерфейс браузера и т.д. + чтобы не бороться с мельницами нужно взять штук 10 разных малварей, которые именно таким образом встраиваются и изучить их, обкатать на них лечение. разумеется, что я шучу, предложив вам взять на себя этот пункт.

Варианты интерактива - а это хз, зависит от вашей концепции. Есть смысл кодить еще один HijackThis? Смотря что за тулза будет и для кого - для юзверей_сделайте_мне_хорошо или для хелперов с получением лога и поддержкой скриптов?
думаю, что можно сделать два интерфейса - при запуске алерт об интерфейсе и далее его отображение - для нубов - одна кнопка. для продвинутых - несколько кнопок.
во время действий выдавать алерты - комментировать действия.

моя задумка такая.
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
для нубов - одна кнопка. для продвинутых
первый алерт: 'вы нуб или не совсем?'

коментить, я думаю не обязательно, это будет замедлять работу и раздражать. обязательно делать бекап и возможность отката. Если прога для юзверей, то, имхо, делать как можно проще и чтобы по максимуму работала автоматически (как антисмс). если для хелперов - то сбор лога и скрипты.

не, такого не надо )))
а что тогда надо? по каждому конкретному файлу: файл такой то, детект такой то? это значит идти на шаг позади вирусописцев, а смысл в этом есть?

я так полагаю толк будет только, если тулза будет палить и старое, и новое (типо эвристика сделать что то)
 
Последнее редактирование:
Сверху Снизу