1

Тема: OFF: Антивирусы и кейгены

это обычная ситуация. (при мировой заговор слыхали? )
так вот оказывается все антивирусы заточены ещё и как антикейгенеры
(об этом можно подробнее почитать в обсуждениях на рутреккере)

Источник.
Это правда, как думаете?
"Обсуждения на рутреккере" почитал бы, но пока не догоняю, как их нагуглить...

Предложения в русском языке начинаются с большой буквы и заканчиваются точкой.
В названии ветки всегда должен быть указан язык программирования или среда исполнения скрипта, если это возможно.

2

Re: OFF: Антивирусы и кейгены

Отчасти. Суть в том, что немалая часть кейгенов одновременно является и троянами.

3

Re: OFF: Антивирусы и кейгены

А как отличить?

Предложения в русском языке начинаются с большой буквы и заканчиваются точкой.
В названии ветки всегда должен быть указан язык программирования или среда исполнения скрипта, если это возможно.

4

Re: OFF: Антивирусы и кейгены

Во многих (?) антивирусах (в Avast точно) есть возможность запускать приложения в так называемых "песочницах". Для работы кейгенов этого достаточно, да и система чиста, опять же.

autoit@conference.jabber.ru - Конференция скриптового языка AutoIt на jabber.ru

5

Re: OFF: Антивирусы и кейгены

Ясно, спасибо.

Предложения в русском языке начинаются с большой буквы и заканчиваются точкой.
В названии ветки всегда должен быть указан язык программирования или среда исполнения скрипта, если это возможно.

6

Re: OFF: Антивирусы и кейгены

Ну, тогда ещё лучше — под виртуальной машиной без установленных гостевых дополнений.

7

Re: OFF: Антивирусы и кейгены

The gray Cardinal пишет:

А как отличить? big_smile

Вопрос сложный. В моих возможностях — посмотреть технические детали на сайтах антивирусных программ после определения и соотнесения кейгена с конкретным подвидом вируса, например, посредством проверки на VirusTotal.

Можно ещё пошукать, как кейген ведёт себя, использовав Process Monitor.

8 (изменено: kaster, 2011-08-30 17:08:40)

Re: OFF: Антивирусы и кейгены

alexii пишет:

Ну, тогда ещё лучше — под виртуальной машиной без установленных гостевых дополнений.

Прости, а лучше чем что и почему лучше?
Не то чтобы я придираюсь, но гостевую машину надо еще поднять да и занимать жесткий диск, только ради экспериментов. По мне так песочница самое то.

autoit@conference.jabber.ru - Конференция скриптового языка AutoIt на jabber.ru

9

Re: OFF: Антивирусы и кейгены

kaster пишет:

Прости, а лучше чем что и почему лучше?

Знал бы как она работает изнутри — был бы уверен. А так… Насколько я понимаю, делается перехват функций работы с файловой системой и реестром?

10

Re: OFF: Антивирусы и кейгены

alexii пишет:
kaster пишет:

Прости, а лучше чем что и почему лучше?

Знал бы как она работает изнутри — был бы уверен. А так… Насколько я понимаю, делается перехват функций работы с файловой системой и реестром?

Ну я, конечно, тоже не специалист, но в википедии говорят примерно вот так

autoit@conference.jabber.ru - Конференция скриптового языка AutoIt на jabber.ru

11

Re: OFF: Антивирусы и кейгены

Я ж про то ж. Что это такое — понятно. Надо знать, как это реализовано изнутри.

12

Re: OFF: Антивирусы и кейгены

The gray Cardinal пишет:

это обычная ситуация. (при мировой заговор слыхали? )
так вот оказывается все антивирусы заточены ещё и как антикейгенеры
(об этом можно подробнее почитать в обсуждениях на рутреккере)

Источник.
Это правда, как думаете?

Патчи, кейгены, брутфорсы и даже снифферы и т.п. прибамбасы вполне могут определяться как HackTools. Кроме того нужно понимать что делает тот или иной продукт, например:
-тупая музыка, логотип хакерской группы или выскакивающее окошко с просьбой посетить сайт могут послужить поводом повесить на кейген лычку "Adware".
-попытка взаимодействия с сетью и уже "Spyware".
-ну а если патч модифицирует информацию в целевом процессе, то от вредоносного ПО его антивирус и не отличит.
В общем смотрите как ваш антивирус обозвал найденный файл и вбивайте это название в гугл .

The gray Cardinal пишет:

"Обсуждения на рутреккере" почитал бы, но пока не догоняю, как их нагуглить...

Может так: site:rutracker.org антивирусы кейгены?:)

alexii пишет:

Я ж про то ж. Что это такое — понятно. Надо знать, как это реализовано изнутри.

Если есть время и желание, то ознакомьтесь с проектом Zero Wine. Виртуализация приложений может реализовываться по-разному, но суть всегда одна и та же- что-нибудь перехватить(API, прерывания) и/или подменить(SDT, драйвера). Кстати, приложение без труда может определить выполняется оно под виртуальной машиной или на реальной и отказаться запускаться(или даже попробовать свалить).

13

Re: OFF: Антивирусы и кейгены

Александр_ пишет:

Если есть время и желание, то ознакомьтесь с проектом Zero Wine.

Спасибо, но… нет ни того, ни другого.

Александр_ пишет:

Виртуализация приложений может реализовываться по-разному, но суть всегда одна и та же- что-нибудь перехватить(API, прерывания) и/или подменить(SDT, драйвера).

Стоп, стоп. А как же аппаратная виртуализация?

Александр_ пишет:

Кстати, приложение без труда может определить выполняется оно под виртуальной машиной или на реальной и отказаться запускаться(или даже попробовать свалить).

Что однозначно заставляет насторожиться. И подобный патч/кейген должен отправляться в небытие.

14

Re: OFF: Антивирусы и кейгены

alexii пишет:

Стоп, стоп. А как же аппаратная виртуализация?

К сожалению пока не знаком с ней, на неделе ознакомлюсь .

alexii пишет:

Что однозначно заставляет насторожиться. И подобный патч/кейген должен отправляться в небытие.

Хорошо, это был неудачный пример. А если так- для генерации ключа используются данные о железе.

15

Re: OFF: Антивирусы и кейгены

Александр_ пишет:

Хорошо, это был неудачный пример.

Почему неудачный? Вполне нормальный пример. Во всяком случае, «магические числа» и «псевдоинструкции» для меня были внове, спасибо за ссылку.

Александр_ пишет:

А если так- для генерации ключа используются данные о железе.

Тады — да, этот способ отпадает.

16

Re: OFF: Антивирусы и кейгены

Конкретный вопрос: TR\Agent.cada.598 — это что? Это опасно или нет?
Перехвачено в процессе запуска самораспаковывающегося архива ("инсталлятора") некоего portable продукта (при предварительной проверке архива — тишина). Найдено внутри "главного" исполняемого файла продукта, который рождается в результате распаковки.

Предложения в русском языке начинаются с большой буквы и заканчиваются точкой.
В названии ветки всегда должен быть указан язык программирования или среда исполнения скрипта, если это возможно.

17

Re: OFF: Антивирусы и кейгены

Странно, что никто не упомянул об "Иде" и "Ольге", про Hiew вообще молчу (хотя лично я не являюсь почитателем последнего в виду не совсем адекватной жадности его автора), - дизассемблирование пока что является самым надежным способом установить что на самом деле является вредоносным, а что нет. Тем паче, что техник обхода виртуального окружения вроде песочниц или тех же виртуальных машинок более, чем достаточно. Это - вцелом. Если же говорить о кейгенах и патчерах в частном порядке, то здесь не все так однозначно. С одной стороны пакеры\крипторы, которые натягивает на кейген\патчер его разработчик (защитить-то алгоритм хочется, да и уменьшить размер бинарника, ведь ни для кого не секрет, что оные пишутся главным образом на Delphi), именно эта "оболочка" в большинстве случаев и определяется как нечто троянское: эвристики и прочие защитные механизмы из-за невозможности распаковать протектор с целью проверки на безопасность кода попросту пасуют, выбрасывая красное окошко.
Однако, если даже автор кейгена не внедряет в свое детище какой-либо вредоносный код узнать это наверняка не получится без дизассемблирования. Согласен, что это долго и нудно, но зато позволяет быть спокойным и уверенным в том, что не будет причинен вред компьютеру. Причем речь уже не столько о кейгенах, сколько о программах вообще, ибо даже вполне уважаемые конторы не брезгуют грязными приемами. Примеры? Uniblue, их оптимизатор реестра содержит три троянских модуля; O&O также не брезгует грязными приемами в стиле hide bits; Comodo не гнушается модификацией MBR, перехватом и подменой API и т.д. - примеров море. Тот же StarForce без всякого зазрения совести заставляет миллионы умов затутманенных играми устанавливать на свои компьютеры самые что ни на есть руткиты.

18 (изменено: Rumata, 2012-01-06 00:37:18)

Re: OFF: Антивирусы и кейгены

Обнаружил на съемном диске вот такую "хрень"

[autorun]
USEAUTOPLAY=1
shellexecute=umhurk/exelent.exe
Shelltewuiofejilewkopf
shell\\Explore\\command=umhurk/exelent.exe
shell\Open\\command=umhurk/exelent.exe
icon=umhurk/exelent.exe
open=umhurk//exelent.exe
action=0pen folder to view files using Windows Explorer

В реестре нашел две ветки, в которых подробно расписано все это. А именно подветки AutoRun, Explore, Open, Autoplay:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69848cc9-33a5-11e1-9573-64315078957e}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dc42c1ea-621b-11e0-828c-e02a82327c83}

.
Одна из веток, как я догадался, это мой съемный диск, а другая - это недавно купленный PocketBook, на котором эта "хрень" уже присутствовала. А этот файл (umhurk/exelent.exe) имеет все самые скрытые атрибуты - архивный, скрытый, системный, только для чтения. Удивительно то, что эта книжка работает под Андроидом, ну по крайней мере, усеченным Линуксом.

Можно предположить, что эта пакость уже давно существует у меня в системе и перешла на новый покетбук, а я всего лишь не уследил. Но именно после подключения покетбука внешний диск перестал нормально отображаться -- то есть стандартная иконка для дисков. Я несколько раз переподключал книжку и диск в один разъем, и после этого ветка реестра DefaultIcon диска стала показывать на несуществующую иконку. Что сразу стало заметно.

Так же нашел упоминания всего этого "добра" в подветках Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69848cc9-33a5-11e1-9573-64315078957e} у "пользователей" в ветке HKEY_USERS

Вот тут всяких usb-устройств. Оно там тоже упоминается в виде \??\Volume\{69848cc9-33a5-11e1-9573-64315078957e}

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevice

.
В очередной раз убедился -- сколько же всякого дерьма эта система позволяет в себя сливать.

Перед отправкой этого сообщения вспомнил про VirusTotal и решил этот бинарник (который еще не удалил) проверить.
8 из 43 опознали вирус - ссылка на VirusTotal.

( 2 * b ) || ! ( 2 * b )

19

Re: OFF: Антивирусы и кейгены

В справочных данных "этого дерьма" сказано: не используйте для постоянной работы учётную запись с правами администратора. А ещё можно отключить автозапуск и ограничить использование ПО.

20

Re: OFF: Антивирусы и кейгены

ypppu пишет:

не используйте для постоянной работы

Вы уверены, что это понятный совет для большинства пользователей? Вы уверены, что это правильный совет для владельцев корпоративных машин с предустановленной учеткой с привилегированными правами?

( 2 * b ) || ! ( 2 * b )

21

Re: OFF: Антивирусы и кейгены

Вы уверены, что это понятный совет для большинства пользователей?

Не уверен. Считаю, что поэтому у большинства пользователей в компьютере живут "блохи".

Вы уверены, что это правильный совет для владельцев корпоративных машин с предустановленной учеткой с привилегированными правами?

Это кто такие - люди, которым запрещается добавить учётку с ограниченными правами?

22

Re: OFF: Антивирусы и кейгены

ypppu
К сожалению мы отклоняемся от основной темы разговора, тем не менее отвечу здесь. Есть основная корпоративная учетка, которая заводится для пользователя и смысла в дополнительной учетке нет.

( 2 * b ) || ! ( 2 * b )

23 (изменено: greg zakharov, 2012-01-06 16:15:12)

Re: OFF: Антивирусы и кейгены

ypppu пишет:

В справочных данных "этого дерьма" сказано: не используйте для постоянной работы учётную запись с правами администратора. А ещё можно отключить автозапуск и ограничить использование ПО.

Солидарен, что сидеть в системе с правами администратора не просто моветон, а сродни самоубийству. Нет, если, конечно, правильно настроить систему то у малвари шансов практически нет, разве что дыры в отдельных компонентах системы (вроде того же win32k.sys, который бы как ни патчили в M$, а толку ни на йоту). Но с этим в корпоративной среде должны бороться HIPS. Или что-то в этом роде. Хотя при наличии прямых рук и головы на шее все же можно обойтись и без оных (да, да - тщательная настройка системы, отладчики уровня ядра и т.д.)

Rumata пишет:

В очередной раз убедился -- сколько же всякого дерьма эта система позволяет в себя сливать.

Надо пологать брань в адрес "форточек"? Отнюдь. Хоть у меня самого в качестве основной операционной системы установлена Fedora (все WinOS у меня подняты исключительно под виртуалками), не могу ничего дурного сказать про Windows. Относительно авторана - я давно всем советую его отключать. Например, выполнив reg-файл следующего содержания:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\autorun.inf]
@="@SYS:DoesNotExist"

После чего перезагрузиться. Хотя то же можно слелать и через локальные политики.
Для MoutnPoints2, что в HKCU ветке, в пермишенах указать особые разрешения для пользователя, например, запрет на запись и чтение, - никаких лагов при подключении USB-устройств при этом не наблюдается.

24

Re: OFF: Антивирусы и кейгены

По теме: у меня раньше запускались генераторы ключей со включенным антивирусом нормально.
Не по теме: не знаю, что имеется в виду под "предустановленной корпоративной" учёткой. Можно поменять тип учётной записи. Программы, запущенные из-под ограниченного пользователя, не могут записывать в системной папке.

25

Re: OFF: Антивирусы и кейгены

ypppu пишет:

По теме: у меня раньше запускались генераторы ключей со включенным антивирусом нормально.

Ммммм... позвольте полюбопытствовать год - как давно это было?

26

Re: OFF: Антивирусы и кейгены

2004-2006 гг. Мне нравилась музыка, которая сопровождает программу. http://i.smiles2k.net/music_smiles/nopityA.gif Могу поискать, выложить в соответствующей теме.

27

Re: OFF: Антивирусы и кейгены

ypppu пишет:

2004-2006

Хм, неудивительно, что антивирусы не ругались. К тому времени даже в лаборатории господина Касперского не особо напрягались с протекторами и пакерами, - это сейчас они на Securelist пишут страшилки на тему как страшно в интеренте без "Касперского", а тогда даже и не знали что такое руткиты. На моей памяти лишь Symantec ругался уже тогда на кейгены и патчеры, но при этом с его стороны были не совсем вменяемые реляции: просто писал "Probably file is infected." и т.п.
О! за музыку буду признателен, правда если эта музыка выдержана в классическом или метал стиле - просто эта та самая музыка, под которую лучше всего соображается.

28

Re: OFF: Антивирусы и кейгены

Нашёл пару примеров: http://webfile.ru/5758061