MAL4X Научно-технический форум разработчиков симуляторов и автоматики


Симуляторы перегрузок. DIY электроника. ЭВМ. Компьютерные сети.
Up

Антивирусное ПО

Техническая поддержка нахаляву, но не оперативная.

Модераторы: Death_Morozz, FELiS, null

Антивирусное ПО

Сообщение Death_Morozz » 10 ноя 2007, 21:45

Эта тема нужна!
Поэтому начинаю ее цитатой помощи, популярного в нашей сети антивируса NOD32:

!!Антивирус Nod 32: Как реанимировать халявные зеркала!!

Насчет зеркал, находящихся в блэклисте. Их создатели, не спешите забрасывать свои творения! Если зеркало попало в блэклист, оно еще не потеряно. Все изложенное ниже справедливо не для тех зеркал, которые NODView показывает, как хорошие и валидные, а только для тех, которые принимает сам NOD32, на которых находятся последние валидные базы, которые не заброшены, но сами адреса их находятся в блэклисте.
Дело в том, что блэклист NODа представляет собой зашифрованную последовательность адресов, а его фильтр - простой контекстный поиск. Если изменить адрес зеркала так, чтобы оно было обозначено по-другому, но тем не менее распознавалось NICом, NOD его пропустит.
Существуют некоторым образом классические приемы маскирования Интернет-адресов. Остается перебрать их и выяснить, какие поддерживает NOD. Я протестировал те приемы, что работали в старых браузерах. Сразу хочу огорчить: записи адреса хексами (типа %6B%61%64%72%2E%6B%75%72%61%67%69%6E%6F%2E%72%75%2F%62%6C%69%6B) NOD не понимает, служебные символы Си, вроде \n\t\x08 фильтруются. Кстати, для списка серверов обновлений NOD применяет определенные правила. Так, он идентифицирует адрес по начальным символам http:// Если их нет, он не считает строку адресом и вставить ее в список обновления не даст. Также он проверяет, есть ли в конце символ / а если нет, подставляет его. Это мелочи, но возможно, они кого-то на что-нибудь натолкнут.
Теперь перейдем к результатам исследования. Извращаться будем над зеркалом http://nyagan.ru/~gir/mirror/ (оно находится в блэклисте, желающие могут проверить). Это единственное зеркало, что я нашел, которое, несмотря на принадлежность к черному списку, продолжает исправно обновляться.
Из тех способов, что были испробованы, NOD понимает, корректно интерпретирует и пропускает следующие:
1. Собачка
Этот способ основан на добавлении в URL символа @. В протоколе HTTP она используется для передачи на сервер логина и пароля для доступа к запароленным местам сайта. Запрос формируется так: http://loginassword@URL. Добавление же @ к обычному адресу заставляет просто игнорировать все, предшествующее ей. То есть запрос будет выглядеть следующим образом:
http://microsoft.com@nyagan.ru/~gir/mirror/

До собачки можно писать все, что вздумается.
У многих (практически у всех) зеркал забанены не только имена, но и айпи-адреса. Ничего, собственно, не мешает применить собачку к ип (предварительно определив его? например, банальным ping узел):
http://yandex.ru@212.76.180.10/~gir/mirror/

Все это уже спокойно проходит проверку.
2. Скрытие IP-адреса.
2.1. Перевод систем счисления
По большому счету айпи – простая совокупность чисел. Так как для компьютера существует несколько систем счисления, неважно, в какой будет записан ип. Переведем группы ип в шестнадцатеричную и восьмеричную системы (первой в адресе предшествует 0х, второй - 0):
http://0xD4.0x4C.0xB4.0x0A/~gir/mirror/

http://0324.0114.0264.012/~gir/mirror/

2.2. Деструктурирование
Теперь усвойте тот факт, что переведенный ип может быть записан и без группировки с одинаковой эффективностью:
http://0xD44CB40A/~gir/mirror/
http://032423132012/~gir/mirror/
Ошибки также не произойдет, если перевести эти числа в десятичную систему счисления:
http://3561796618/~gir/mirror/
И напоследок самое интересное. К шестнадцатеричному варианту в начале можно добавить произвольное количество произвольных цифр, например
http://0x0123456789D44CB40A/~gir/mirror/

Первые 0123456789 добавлены от балды, максимально проверенная последовательность – 10 символов, а возможно, и больше.
Приведенные выше варианты можно (а иногда и нужно) смешивать между собой. Например, ссылку
http://microsoft.com@0x44738.....A/~gir/mirror/

с первого раза не поймает не только NOD, но даже и не слишком опытный шифровальщик. Если какой-то вариант вдруг не сработает, нужно пробовать другой, третий, так, с некоторыми зеркалами (вроде kadr.kuragino.ru/blik/) способ 1.1 по непонятной причине не обходит блэклист.
Удачных экспериментов!
P.S. Несмотря на все рекомендации по скрытию урлов современные браузеры не открывают почти ничего из них, только комбинации «собачка-ип» или «собачка-8ип». Это сделано во избежание эксплоитов. Таким образом, есет просто надо повторить код браузеров, чтобы отлавливать такие ип, и все, а это недолго. Скорее всего, первые такие ип просто попадут в блэклист, и пройдет некоторое время, прежде чем в есет просекут ситуацию и напишут фильтр.

Хочешь сделать хорошо - сделай это сам.
Изображение
Аватара пользователя
Death_Morozz
Фраерок
 
Сообщения: 2839
Зарегистрирован: 11 янв 2007, 23:35
Откуда: Ростов-на-Дону
Благодарил (а): 822 раз.
Поблагодарили: 312 раз.
Баллы репутации: 200
ТехнарьТехнарьТехнарь

Сообщение Death_Morozz » 31 июл 2012, 23:56

Изображение
Mein Kampf с попрошайлами (winlocker):

Седьмой способ — ребут, и по загрузке системы СРАЗУ ЖЕ открываем «Диспетчер задач». Можно заранее установить альтернативный диспетчер задач Process Explorer, который чаще всего неизвестен винлокерам. Поскольку винлок грузится не моментально, то будет 2-3 секунды на то, чтобы пробежать список запущенных приложений и найти подозрительный процесс (что-нибудь вроде Win.exe, запущенный не под SYSTEM, а под %USERNAME%). Затем винлок наконец включается и блокирует диспетчер задач. Снова ребут, снова сразу же открываем диспетчер задач, и держим один палец на клавише с первой буквой названия процесса, второй — на Del, третий на Enter. Непрерывно долбим кнопку с первой буквой названия процесса, чтобы как только винлок начинает грузиться, строка с названием его процесса стала активной. Дальше быстро жмем Del и Enter, убивая процесс не дожидаясь его полной загрузки. Если не получилось, а с первой попытки скорее всего и не получится, ребут и снова повторяем те же манипуляции. Можно просто зажать клавишу Shift при загрузке Винды — все процессы пользователя в автозапуске по ветке Run не запустятся! Чем больше процессов стартует при запуске системы тем легче успеть выпилить винлок. Если в компе стоит несколько плашек оперативы, то можно облегчить себе задачу, оставив только самую малоемкую плашку и вытащив все остальные. После отключения винлока переключаемся в диспетчере задач на вкладку «Приложения», жмем «Новая задача» и вбиваем explorer.exe. Дальше ручками сносим винлок из автозагрузки (какие ключи проверять уже написано выше), палим его местонахождение и удаляем, после чего для пущего спокойствия сканируем ПК антивирусом.


слуркано со спижжа


winxp BSOD!
о время загрузки winxp, как раз во время этого синенького экрана можно нажать shift+f10 и появится окошко с шеллом. Когда работал с этим очень часто выручало.


До SP1 win7 установил антивиирус сесуриту, что делоть, как активировать?
.::WINDOWS 7::.

На этой OS я опробовал более 10 схем, но не одна не помогла, кроме одной. Для того чтобы активировать пиратскую Windows 7, вам нужно:
1. Скачать активатор RemoveWAT v2.1 по одной из ссылок _http://depositfiles.com/en/files/1zsfyoz03, _http://letitbit.net/download/7110.7be8e68b0dfdb251e2ad9026d/RemoveWAT21.rar.html,_http://ifolder.ru/17032594
2. распаковать архив и запустить файл RemoveWAT.exe

Хочешь сделать хорошо - сделай это сам.
Изображение
Аватара пользователя
Death_Morozz
Фраерок
 
Сообщения: 2839
Зарегистрирован: 11 янв 2007, 23:35
Откуда: Ростов-на-Дону
Благодарил (а): 822 раз.
Поблагодарили: 312 раз.
Баллы репутации: 200
ТехнарьТехнарьТехнарь


Вернуться в Техподдержка

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 82

cron
x

#{title}

#{text}