Обсуждения и предложения на тему создания новых лечащих утилит
- Автор темы glax24
- Дата начала
Если туда зайти с носкриптом, то будет жесткий спойлер 
Может подумаем на эту тему для начала? Что должна уметь такая утилита (только конкретно, можно даже в виде тех.задания)? По сути, набор функций/классов для реализации подобного у меня есть, так что разработка не должна быть очень долгой...
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
делать юзверю хорошо
Добавлено через 5 минут 54 секунды
а чуть чуть конкретнее - находить причину блокировки и снимать ее. Способов може т быть оч много, сами понимаете
Вот именно. И предлагаю начать обсуждение. Пример:
1. заглядвать в файл хостс и предлагать его почистить
Это пример общего задания. Затем можно перейти к частностям. Например:
если ос == хр, то тащить путь до хостса из реестра, а если ос выше, то долбить по фиксированному пути ...
вот как-то так предлагаю обсуждать. кто как может. предложите и вы с каким способом она должна и как бороться.
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
это только один из способов и самый примитивный. к тому же про него знают большинство юзверей_которые_сидят_в_соцсетях. я предлагаю вам самостоятельно поизучать логи из разделов лечения на разных форумах с такими проблемами.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Сашка, на нужно много времени. Если ты хочешь помочь в разработки утилиты, то было бы намного полезней если бы по собственному опыту - который есть у тебя как у хелпера указал бы на эти нюансы.
2) Троянские DNS
как-то меня малость начинает напрягать, что вы меня все время куда-то посылаете. если вам нечего предложить и вы не собираетесь участвовать в обсуждении (составлении т.з), то зачем по несколько сообщений писать одно и тоже? я ведь написал, что я предлагаю людям поучаствовать в обсуждении на тему создания новой лечащей утилиты - так ведь эта тема называется, не? потому, имхо, несколько некорректно выгонять меня отсюда пинками в раздел "помогите". Всяко проще, когда делать что-то сообща. Тем более, что я пишу везде, повтояряясь по несколько раз: для примера, упрощенно и т.д. Я лишь пытаюсь вытянуть общественность на конструктивное обсуждение в правильном русле. У меня есть некий опыт промышленного (проще говоря, это мой хлеб уже много лет) программирования, имею представление, как правильно организовывать процесс разработки продукта. Потому и выстраиваю некую канву, описываю самые примитивные примеры и задачи на которые стоит оглядываться, а вы в каждом сообщении общими фразами и отмашками сводите все на нет.
Где-то пробегала ссылка на киберфорум, где пытаются делать свой антивинлокер... вот там можно видеть некое подобие к чему можно прийти для _начала_ при открытой добровольной разработке, и то, это очень-очень нечетко и по уму (главное при желании участников заниматься чем-то серьезно, а не лясы точить) организационная схема и процесс разработки-тестирования намного сложнее.
Для начала, желательно, силами сообщества прийти к схеме, от которой уже можно отталкиваться:
Список распространенных методов блокировки захода на сайты:
1. хостс
2. либа в АП
3. плагин
4. static path
5. spoof dns
и т.д
Далее более конкретное описание (техническое) каждого метода:
1. файл находится там-то и там-то в такой-то такой-то ОС. формат файла такой. по дефолту должна быть такая-то запись.
2. ...
Методы лечения:
1. Считывать, анализировать, делать алерт (или не делать алерт, а молча тереть), предлагать сохранить данные и вручную ребутнуть комп. Варианты интерактива ...
2. ...
Вот как-то так. Если каждый попытается взять на себя один пункт и раскатать его в трех секциях (способ, описание, лечение), то это уже будет нормальным началом. Уже хотя бы можно будет определиться, кто хочет и может участвовать в проекте, а кто просто зашел поговорить.
Без обид.
по-моему, я не перегибаю, ведь не призываю к дэйлискраму, спринтам, свн и прочим радостям
PS: во, пока печатал свой монолог, regist про пятый пункт упомянул
Уже дело с мертвой точки сдвинулось)
Последнее редактирование:
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
я думаю, разработчик сам должен понять эти механизмы, поэтому почитать логи будет не лишне.
записи в hosts
подмена DNS
подмена hosts
статические маршруты к сайтам
подключение через прокси-сервер
изменение настроек браузеров
подключение плагинов\надстроек к браузерам без ведома пользователя
изменение настроек сетевого подключения
проблемы со стороны провайдера
дописки левого путя в ярлыке браузера
подмена\патчинг системных файлов итд итп
внедрение торянских библиотек и тд,
туева хуча, одним словом
подмена hosts
статические маршруты к сайтам
подключение через прокси-сервер
изменение настроек браузеров
подключение плагинов\надстроек к браузерам без ведома пользователя
изменение настроек сетевого подключения
проблемы со стороны провайдера
дописки левого путя в ярлыке браузера
подмена\патчинг системных файлов итд итп
внедрение торянских библиотек и тд,
туева хуча, одним словом
Последнее редактирование:
когда-то я был в команде на вирусинфо пока наша команда не распалась (началом был уход Вайза и Акока, затем бодания Виталия, Зайцева, Алекса, АнтонДр...), так что не надо в каждом сообщении пытаться мне сказать, что я умею только кодить, а как работает малварь без понятия.
если вы более подробно опишете эти методы, то будет хорошо. мне, например, непонятно, что значит "подмена хостс". имеется в виду, что в хр меняется в реестре путь до etc или что?
Добавлено через 6 минут 51 секунду
1. хостс
2. либа в АП
3. плагин
4. static path
5. spoof dns
записи в hosts (1)
подмена DNS (5)
подмена hosts (1)
статические маршруты к сайтам (4)
подключение через прокси-сервер (каким способом чаще это делают? через конфиг браузера?)
изменение настроек браузеров (парсинг конфигов, предлагаю в третий пункт)
подключение плагинов\надстроек к браузерам без ведома пользователя (3)
изменение настроек сетевого подключения (подробнее каких именно)
проблемы со стороны провайдера (проблемы индейцев)
дописки левого путя в ярлыке браузера (start page simulate, инет не блочит, но тоже можно подумать о лечении)
подмена\патчинг системных файлов итд итп (zekos)
внедрение торянских библиотек и тд, (appinit, remote inject, plugin - (2))
Давайте подробнее
если вы более подробно опишете эти методы, то будет хорошо. мне, например, непонятно, что значит "подмена хостс". имеется в виду, что в хр меняется в реестре путь до etc или что?
Добавлено через 6 минут 51 секунду
1. хостс
2. либа в АП
3. плагин
4. static path
5. spoof dns
записи в hosts (1)
подмена DNS (5)
подмена hosts (1)
статические маршруты к сайтам (4)
подключение через прокси-сервер (каким способом чаще это делают? через конфиг браузера?)
изменение настроек браузеров (парсинг конфигов, предлагаю в третий пункт)
подключение плагинов\надстроек к браузерам без ведома пользователя (3)
изменение настроек сетевого подключения (подробнее каких именно)
проблемы со стороны провайдера (проблемы индейцев)
дописки левого путя в ярлыке браузера (start page simulate, инет не блочит, но тоже можно подумать о лечении)
подмена\патчинг системных файлов итд итп (zekos)
внедрение торянских библиотек и тд, (appinit, remote inject, plugin - (2))
Давайте подробнее
Последнее редактирование:
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
а зачем тогда вам посторонняя помощь? давайте готовую концепцию, обсудим.
когда создается фейк
рассматривайте все. и через браузеры\один браузер, и через сетевые настройки
dns, роуты, прокси, по сути, это и так перечислено.
что еще подробнее? я вот собрал щас в кучу что голову пришло, но это не все способы.
Последнее редактирование:
по сути все эти способы вкратце я и сам выше перечислил, а в своем предыдущем постое чуть расширил в скобках, дабы поболее конкретики было. но в сообщении #47 я описал к чему желательно прийти. можно к этому прийти и самому, а можно и всем вместе. осилите хотя бы один пункт или лень и нет времени/желания?))
вот в том, то и сложной свободного ПО, что советчиков тьма, а когда нужно реально начать работать, то пшик.
По поводу хостс? что значит создается фейк? никак не могу понять. смена пути до хостса или создание хостса с русской буквой о, а оригинал => скрытый - это тоже можно назвать фейками, но имеете вы это в виду или что-то иное - мне неведомо.
вот в том, то и сложной свободного ПО, что советчиков тьма, а когда нужно реально начать работать, то пшик.
По поводу хостс? что значит создается фейк? никак не могу понять. смена пути до хостса или создание хостса с русской буквой о, а оригинал => скрытый - это тоже можно назвать фейками, но имеете вы это в виду или что-то иное - мне неведомо.
Последнее редактирование:
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
и то и другое и третее, ну я то здесь не один)))
пока что не вижу объекта для обсуждения.
Добавлено через 3 минуты 22 секунды
сегодня один способ в ходу, завтра появится другой, так что рассматривать я думаю стоит все способы - и это, и то и другое.
glax24
Разработчик
- Сообщения
- 1,962
- Реакции
- 1,359
Вот такие записи ещё в автозагрузке
Код:
cmd.exe /c copy C:\Documents and Settings\Root\Local Settings\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /fИсправляйте hosts сколько угодно после перезагрузки он опять подменится.
Последнее редактирование:
Вот это интересный вопрос - я думал как быть, если зловред сидит внутри компа и время от времени сбивает настройки. В идеале тулза должна уметь все, но по факту, получится лишь лечить хостс и может быть пару распространенных малварей находить по адресу/примитивному хэшу.
Вот такой вариант еще возможен (дернул с одного своего хонипота из логов)
Вариантов, по сути много. Нужно определится с т.з. В сообщении 47 я предложил как вы мне можете помочь. Сможете - разработка будет идти быстрее. Не сможете (не захотите), сам сделаю, но подольше, т.к придется мысли воедино собирать, писать все это и т.д
Вот такой вариант еще возможен (дернул с одного своего хонипота из логов)
Вариантов, по сути много. Нужно определится с т.з. В сообщении 47 я предложил как вы мне можете помочь. Сможете - разработка будет идти быстрее. Не сможете (не захотите), сам сделаю, но подольше, т.к придется мысли воедино собирать, писать все это и т.д
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
но ведь и такой вариант может быть. если у вас есть опыт подобных разработок, вам понятнее, чем, например, мне, как это можно все собрать воедино.
Поскольку вариантов каждого из вами же перечисленных способов создания юзверю проблем неисчислимое множество, думаю, стоит опираться на норму. А как реализовать, вот, например, автоматическое возвращение сетевых настроек к нормальным, кроме прописывания гуглоднс (но и это не для всех канает) я и представить себе не могу.
Попробую вывести некие приоритеты, на которые попробую опереться при разработке. Популярные методы перенаправления пользователей или встраивания постороннего кода в браузер (по убыванию и актуально лишь на сегодняшний день):
1. Хостс (Модификация единоразовая, модификация через автозапуск параметрами к cmd, заданиями в определенное время, просто ехешник, который в системе много чего делает + имеет функции редактирования хостса).
2. Внедрение через AppInitDlls (классификация по ЛК: ShipUp)
3. Установка левого днс
4. Статические маршруты
5. Аддон в браузер
6. Патчинг rpc...
7. Изменение настроек самого браузера, например вписывание туда подключение через проксю.
8. далее... вначале бы с предыдущим разобраться...
При этом, мы опускаем возможность блокировки доступа/перенаправления, через хуки, т.к для вычищения малвари с компьютера должны быть другие инструменты, если мы точим тулзу, для разблокировки инета, то не нужно пытаться сюда засунуть полноценный антируткит и антивирус.
ЗЫ: еще не теряю надежды, что кто-то присмотрится к сообщению 47 и поможет мне
1. Хостс (Модификация единоразовая, модификация через автозапуск параметрами к cmd, заданиями в определенное время, просто ехешник, который в системе много чего делает + имеет функции редактирования хостса).
2. Внедрение через AppInitDlls (классификация по ЛК: ShipUp)
3. Установка левого днс
4. Статические маршруты
5. Аддон в браузер
6. Патчинг rpc...
7. Изменение настроек самого браузера, например вписывание туда подключение через проксю.
8. далее... вначале бы с предыдущим разобраться...
При этом, мы опускаем возможность блокировки доступа/перенаправления, через хуки, т.к для вычищения малвари с компьютера должны быть другие инструменты, если мы точим тулзу, для разблокировки инета, то не нужно пытаться сюда засунуть полноценный антируткит и антивирус.
ЗЫ: еще не теряю надежды, что кто-то присмотрится к сообщению 47 и поможет мне
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
если вы про это
1. файл находится где угодно, прописан в автозапуск, форматы разные
Методы лечения:
2. считывать, анализировать, левое удалять, измененное - возвращать к норме. Варианты интерактива - а это хз, зависит от вашей концепции. Есть смысл кодить еще один HijackThis? Смотря что за тулза будет и для кого - для юзверей_сделайте_мне_хорошо или для хелперов с получением лога и поддержкой скриптов?
тогда:
1. файл находится где угодно, прописан в автозапуск, форматы разные
Методы лечения:
2. считывать, анализировать, левое удалять, измененное - возвращать к норме. Варианты интерактива - а это хз, зависит от вашей концепции. Есть смысл кодить еще один HijackThis? Смотря что за тулза будет и для кого - для юзверей_сделайте_мне_хорошо или для хелперов с получением лога и поддержкой скриптов?
не, такого не надо )))
попробуйте 5 пункт изучить. на это много времени уходит. в таких вещах больше времени уходит не на кодинг, а на исследования и тестирования. когда десяти строчкам кода может предшествовать несколько дней изучения _что_ именно нужно закодить. браузеров, как минимум три-четыре. надо выяснить по каким путям лежат/могут лежать аддоны, где (реестр/файл) прописаны, как их безопасно вырвать не через интерфейс браузера и т.д. + чтобы не бороться с мельницами нужно взять штук 10 разных малварей, которые именно таким образом встраиваются и изучить их, обкатать на них лечение. разумеется, что я шучу, предложив вам взять на себя этот пункт.
думаю, что можно сделать два интерфейса - при запуске алерт об интерфейсе и далее его отображение - для нубов - одна кнопка. для продвинутых - несколько кнопок.
во время действий выдавать алерты - комментировать действия.
моя задумка такая.
Последнее редактирование:
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
первый алерт: 'вы нуб или не совсем?'
коментить, я думаю не обязательно, это будет замедлять работу и раздражать. обязательно делать бекап и возможность отката. Если прога для юзверей, то, имхо, делать как можно проще и чтобы по максимуму работала автоматически (как антисмс). если для хелперов - то сбор лога и скрипты.
а что тогда надо? по каждому конкретному файлу: файл такой то, детект такой то? это значит идти на шаг позади вирусописцев, а смысл в этом есть?
я так полагаю толк будет только, если тулза будет палить и старое, и новое (типо эвристика сделать что то)
Последнее редактирование:
Похожие темы
