LINUX.ORG.RU

Page cache

 


0

3

А вот есть такой теоретический вопрос:

допустим мы запустили bash. Потом вышли из него. Насколько я понимаю копия исполняемого файла должна остатся в кеше страниц. Теперь мы снова запускаем bash. Ядро при созднии процесса будет использовать непосредственно страницы из кеша или будет делать из них копии???

★★★★★
Ответ на: комментарий от anonymous

Как сделать самоудаляющийся бинарник под виндой?

Я жирным выделял не раз, увидишь если со зрением всё в порядке

frame ★★★
()
Ответ на: комментарий от frame

Я сравниваю возможности по скрытию малвари, в линуксе их больше, по крайней мере на одну

Не, это не аргумент. Прошу предоставить все способы сокрытия в линухе и в винде, вот тогда и обсудим что дырявее.

Куда хуже то что процесс может себя переименовать. Вот это жопа. Но хоть /proc/self/exe продолжает указывать на старое место. Кстати, так можно легко вычислить троянцев которые себя удаляют. Ну или то что для скриптов будет указан путь к интерпретатору, хотя лучше бы был путь скрипту. Вот это действительно ппц.

true_admin ★★★★★
()
Ответ на: комментарий от tailgunner

Он хочет, чтобы ему написали точно так же, как в Linux. Наверное, его даже трюк с DLL не устроит.

Я рад что ты признал, что в винде это как в линуксе сделать нельзя, - лучше поздно, чем никогда, как говорится =)

P.S.: не нервничай, всё будет хорошо =)

frame ★★★
()
Ответ на: комментарий от frame

P.S.: не нервничай, всё будет хорошо =)

У меня и сейчас всё хорошо. А вот у тебя свербит, раз полез удаленные читать %)

tailgunner ★★★★★
()
Ответ на: комментарий от true_admin

Не, это не аргумент. Прошу предоставить все способы сокрытия в линухе и в винде, вот тогда и обсудим что дырявее.

В винде аргументов не нужно: удалить файл нельзя. Для линукса фрагмент кода я приводил, нужно лишь получить дескриптор до удаления, а дальше - read, close, unlink, open(create),write,close - и всё это без создания доп.процессов и других грязных хаков

Куда хуже то что процесс может себя переименовать. Вот это жопа.

Угу, авторан/регистрация слетит, поэтому такого никто в здравом уме делать не будет

Но хоть /proc/self/exe продолжает указывать на старое место. Кстати, так можно легко вычислить троянцев которые себя удаляют.

Посмотри мой пример - создаётся пустой файл с тем же именем

frame ★★★
()
Последнее исправление: frame (всего исправлений: 1)
Ответ на: комментарий от tailgunner

У меня и сейчас всё хорошо. А вот у тебя свербит, раз полез удаленные читать %)

Бгг, расскажи =) Я вообще-то ответ нажал, превью, а тут на тебе - нельзя отвечать на удалённые =)

frame ★★★
()
Ответ на: комментарий от frame

Угу, авторан/регистрация слетит, поэтому такого никто в здравом уме делать не будет

Я не понял при чём тут авторан, но троянцы себя часто переименовывают в какой-нить sshd или httpd.

Если ты про то что вирус не переживёт ребут, так это для серверов не проблема. Даже домашние вири так делают (сужу по пиар-новостям от касперского).

создаётся пустой файл с тем же именем

Не понимаю какие выводы я из этого должен делать.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Если ты про то что вирус не переживёт ребут, так это для серверов не проблема.

Хорошо жить в мире оптимистических допущений, только вот в реальности выигрывает тот, кто также думает про else =) И касперский тут лишь один из популярных, но далеко не самый лучший

Не понимаю какие выводы я из этого должен делать.

Простого скана по директориям в линуксе может быть недостаточно для обнаружения малвари, в отличии от винды

frame ★★★
()
Ответ на: комментарий от frame

Хорошо жить в мире оптимистических допущений

Никакой связи с оптимизмом, это одна из стратегий линуксовых троянов которая доказала свою работоспособность. Ты сейчас логическими рассуждениями доказываешь что эта схема неработоспособна? Она работоспособна, подтверждено практикой. Я ещё ничего в этом треде не сказал с т.з. теории. Всё из практики.

выигрывает тот, кто также думает про else

Именно об этом и речь. Трояна сложнее обноружить если он не оставляет следов на диске.

И касперский тут лишь один из популярных, но далеко не самый лучший

Конкретный антивирус тут ни при чём.

Простого скана по директориям в линуксе может быть недостаточно для обнаружения малвари, в отличии от винды

И для винды тоже. По тем же причинам.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Ты сейчас логическими рассуждениями доказываешь что эта схема неработоспособна? Она работоспособна, подтверждено практикой.

Эта «практика» целиком и полностью подчиняется законам старения аккумуляторов в бесперебойниках (если они вообще присутствуют). Годами не обновляются/перегружаются лишь огороженные от внешнего мира (либо функционально урезанные) серверы, которые потому никому и не интересны =)

Трояна сложнее обноружить если он не оставляет следов на диске.

да, это «плюс» линуксу =)

Конкретный антивирус тут ни при чём.

Ну конечно, и обзоры ты с забора читаешь =)

И для винды тоже. По тем же причинам.

Да ну? И как мне в винде удалить из директории работающий екзешник? =)

frame ★★★
()
Ответ на: комментарий от frame

Годами не обновляются/перегружаются лишь огороженные от внешнего мира (либо функционально урезанные) серверы, которые потому никому и не интересны =)

Дело не в этом. Если сервак заразили один раз, то заразят и второй раз после ребута. Огороженность тут вообще ни при чём. Плохо настроенных серваков гораздо больше чем нормальных.

как мне в винде удалить из директории работающий екзешник?

Выше я же приводил ссылки на инструменты.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

то заразят и второй раз после ребута.

Не факт, т.к. перегружаться он может и после обновления =)

Выше я же приводил ссылки на инструменты.

Я выделю вопрос ещё раз жирным шрифтом: как в винде удалить из директории работающий екзешник? Для линукса я даже исходник привёл, - где аналогичный виндовый?

frame ★★★
()
Ответ на: комментарий от frame

Не факт, т.к. перегружаться он может и после обновления =)

Есть целые ботнеты на безфайловых троянах. На этом я считаю доказанным и обоснованным такой подход. Пожалуйста, не пиши на тему «это неработающий подход», «это неэффективно» итп. Это уже работает, это уже используется.

как в винде удалить из директории работающий екзешник?

http://www.catch22.net/tuts/self-deleting-executables

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Есть целые ботнеты на безфайловых троянах.

пруфлинк хотя бы на описание будет?

http://www.catch22.net/tuts/self-deleting-executables

А я ещё раз задам вопрос, особо выделив ключевое слово, т.к. всё по ссылке по понятным причинам не подходит: как в винде удалить из директории работающий екзешник?

frame ★★★
()
Ответ на: комментарий от frame

пруфлинк хотя бы на описание будет?

Неа, нет времени гуглить. Я встречал как в новостях, так и в диком виде перловые скрипты которые через дыры сайта заливались в /tmp, запускались и удалялись.

всё по ссылке по понятным причинам не подходит

Я не спец в виндах, что там не так?

Кстати, как вариант, вижу что вирусы могут патчить программы в рантайме: http://en.wikipedia.org/wiki/Conficker . Соотв. оно может запуститься, пропатчить какой-то процесс в памяти и выйти. А патченый процесс удалит бинарь с диска. При этом патченый процесс остаётся. Это не то же самое что «удалить сам себя», но примерно те же яйца т.к. на диске не остаётся следов заражения.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Неа, нет времени гуглить.

Понятно, «ОБС» =)

Я не спец в виндах, что там не так?

Удаление работающего бинарника не работает, и не будет работать =)

Кстати, как вариант, вижу что вирусы могут патчить программы в рантайме: http://en.wikipedia.org/wiki/Conficker . Соотв. оно может запуститься, пропатчить какой-то процесс в памяти и выйти. А патченый процесс удалит бинарь с диска. При этом патченый процесс остаётся.

кто-то из нас двоих явно фантазирует:

В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также прописывает себя в сервисах со случайным именем, состоящим из латинских букв

frame ★★★
()
Ответ на: комментарий от frame

ОБС

Давай без оскорблений. Я принципиально не вру, мне это не нужно. Если сказал видел — значит видел. Надо будет — напишу :)

Есла байда типа такой не работает то сдаюсь: http://www.filehippo.com/download_unlocker/

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Есла байда типа такой не работает то сдаюсь

Unlocker.exe
UnlockerInject32.exe
UnlockerDriver5.sys

=)

frame ★★★
()
Ответ на: комментарий от frame

А я ещё раз задам вопрос, особо выделив ключевое слово, т.к. всё по ссылке по понятным причинам не подходит: как в винде удалить из директории работающий екзешник?

Вопрос не мне но насколько я помню винду это не сильно сложно: вганяем эксплойт в нулевое кольцо а дальше нам никто не помешает сделать все на что хватит ума.

cvv ★★★★★
() автор топика
Последнее исправление: cvv (всего исправлений: 1)
Ответ на: комментарий от true_admin

гугль и мозги ему в помощь. Раньше на BugTrack-e примеры лежали но сейчас лавочку прикрыли :((((

cvv ★★★★★
() автор топика
Последнее исправление: cvv (всего исправлений: 2)
Ответ на: комментарий от cvv

Вопрос не мне но насколько я помню винду это не сильно сложно: вганяем эксплойт в нулевое кольцо а дальше нам никто не помешает сделать все на что хватит ума.

Ну давайте сравним: 0-day уязвимость это ~$50к + написание драйвера + написание клиента vs мой пример в 20 строчек — «А в остальном, прекрасная маркиза, всё хорошо, всё хорошо, всё хорошо...» =)

frame ★★★
()
Ответ на: комментарий от true_admin

щас этот товарищ попросит показать рабочий код :)

ну естессно, теоретикам нужно почаще указывать на их место =)

frame ★★★
()
Ответ на: комментарий от frame

~$50к + написание драйвера + написание клиента vs мой пример в 20 строчек

ты маздай с линуксом попутал. Это на линуксе такой сценарий фиг взлетит а на маздае сообразительный студент провернет в разумные сроки за разумную оплату.

cvv ★★★★★
() автор топика
Ответ на: комментарий от cvv

ты маздай с линуксом попутал. Это на линуксе такой сценарий фиг взлетит а на маздае сообразительный студент провернет в разумные сроки за разумную оплату.

оке. способ удаления в линуксе без ring0 и костылей я показал, теперь твоя очередь для винды, иксперд. или сразу засчитаем слив (не первый, и, надо полагать, не последний в этом треде)? =)

frame ★★★
()
Ответ на: комментарий от cvv

Не спорь с ним. Под виндой готового рецепта без в свободном доступе нет. Тебе потребуется как минимум гуру виндовых потрохов чтобы это провернуть.

Это, однако, не делает винду мегазащищённой, а линух решетом.

true_admin ★★★★★
()
Ответ на: комментарий от cvv

И вообще очень жаль что это нельзя отключить в линухе. Как и смену process name. И то что /proc/self/exe указывает на интерпретатор, а не на скрипт. Всё это сильно затрудняет анализ взлома.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

И вообще очень жаль что это нельзя отключить в линухе.

смонтировать файлуху RO.

Как и смену process name.

ну если сильно хочется то небольшим патчем можно запретить изменение этой области памяти но это поламает некоторые приложения которые пытаются ее изменять, например bash.

И то что /proc/self/exe указывает на интерпретатор, а не на скрипт. Всё это сильно затрудняет анализ взлома.

для этого обычно транслируют скрипты в бинарники и удаляют интерпретатор.

cvv ★★★★★
() автор топика
Ответ на: комментарий от true_admin

Не спорь с ним.

:)

Под виндой готового рецепта без в свободном доступе нет.

уже нет. ну с того времени как интернету начали закручивать гайки со всех сторон.

Тебе потребуется как минимум гуру виндовых потрохов чтобы это провернуть.

во времена XP и 2000 этого не требовалось (в отличие от линукса).

cvv ★★★★★
() автор топика
Ответ на: комментарий от cvv

смонтировать файлуху RO.

Всегда можно найти выход. Просто хочется решать проблемы простыми путями. Но соглашусь с тем что универсальная система не может быть хорошей во всех областях.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

а еще мне очень сильно в плане защищенности нравилась AFS: у нее собственная система проверки прав доступа поэтому даже получив рута злоумышленник практически ничего не сможет сделать

cvv ★★★★★
() автор топика
Ответ на: комментарий от cvv

даже получив рута злоумышленник практически ничего не сможет сделать

AFS это Andrew File System? Получив полноценного рута (а не то урезанного каким-нить selinux) можно всё что угодно делать в пределах локальной системы.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

AFS это Andrew File System?

да

Получив полноценного рута (а не то урезанного каким-нить selinux) можно всё что угодно делать в пределах локальной системы.

если ума хватит. системы на основе AFS для этого требует на порядок или несколько больше ума чем обычные системы.

cvv ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.