gentux |
|
Темы:
3
Сообщения:
119
Участник с: 15 января 2015
|
-_oЗачем? Прямо в ОП посте написано: Edit3 : false positive! Clamav is a bit paranoiac apparently |
vasek |
|
Темы:
47
Сообщения:
11854
Участник с: 17 февраля 2013
|
Дело было вечером, делать было нечего … и решил от скуки посмотреть этот код Этот кусок кода близко похож на кусок шелкода но, имхо, выполнить он ничего не может и теоретически так конструкцию не пишут.Удалил несколько инвалидных байт в конце и нулевые байты, в итоге получил вот такой код Скомпилировал и запусил - в итоге, как и ожидалось, конечно, ничего не запустилось Вывод - не используйте Clamav ……. как и другие антивирусы в Linux ...... и ничего не бойтесь
Ошибки не исчезают с опытом - они просто умнеют
|
Aivar |
|
Темы:
4
Сообщения:
6897
Участник с: 17 февраля 2011
|
vasek, в этом фрагменте, во-первых, нет начальной загрузки используемых регистров. Во-вторых, по команде ret в PC будет то, что занесено в стек (push esp), так что хз куда будет осуществлен переход. А вообще, такой код в ассемблере (по крайней мере в таком виде) ни к чему кроме ошибки не приведет. vasekЕсли только это не недокументированные инструкции. |
Aivar |
|
Темы:
4
Сообщения:
6897
Участник с: 17 февраля 2011
|
Кстати, это может быть частью крипта, который дешифрует основное тело вируса. Так что как знать... ) |
vasek |
|
Темы:
47
Сообщения:
11854
Участник с: 17 февраля 2013
|
Привожу пример одного похожего shellcod (командная оболочка sh) - вот так он выглядит Компилируем, запускаем и … попадаем в sh - пробуем запустить команду free -m~/Документы/VIRUS/asm/shellcode_test
EDIT 1 - молодежь, скомпилировать не пытайтесь, ничего не получится - есть свои тонкости. А, главное, само по себе это ничего не дает - основная проблема, это внедрение. Привел для того, чтобы показать, что иметь/хранить такой код в системе совершенно безопасно.
Ошибки не исчезают с опытом - они просто умнеют
|
Aivar |
|
Темы:
4
Сообщения:
6897
Участник с: 17 февраля 2011
|
vasekДа и не может машинный код в двадцать байт быть самостоятельной программой. Два килобайта - да, но если оно еще хочет самосохраняться, размножаться, скрываться - тут не обойтись без системного программирования... В общем не все так просто. Однако вирус под линь вполне реален, особенно учитывая рост популярности этой системы. Так что я бы особо не расслаблялся. |
akorop |
|
Темы:
111
Сообщения:
1756
Участник с: 29 февраля 2012
|
AivarТеоретически да, но пока что все эти примеры с обнаружением чего-то подозрительного в файлах совершенно не впечатляют. Пока вирус не обнаружен в памяти - говорить не о чем. Да и неплохо бы конкретно увидеть, что плохого реально делается (типа убиваются файлы, отсылаются куда-то пароли и т.п.), а не выкрикиывать ритуальные слова и бить в рельс, увидев сомнительную сигнатуру .в каком-то файле. AivarА что, этот самый рост имеет место? Я не думаю, что в обозримом будущем возможно появление даже единиц, не то что тысяч, линуксных вирусов. Причин куча:
|
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
akoropВам просто могут прописать в пакбильде скачку майнера и его запуск по таймеру или шифровку порчу домашнего каталога. |
akorop |
|
Темы:
111
Сообщения:
1756
Участник с: 29 февраля 2012
|
vs220А при чём тут вирусы и антивирусы? И, кстати, вдумчивое чтение пакбильда ни чего не предохраняет - зловред может сидеть прямо в исходниках или в прикладываемых патчах. Вокруг вредоносного ПО есть масса ритуалов, реально ничего, кроме пустой траты времени, не дающих. Тоже, кстати, разновидность психовируса - вот он реально опасен, и надо не давать ему внедриться в свои мозги :) |
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
akoropТема все же про зловредов в ауре. И я к тому что расслабляться не стоит -подмена пакбилда позволяет простейшими методами внедрить зловреда или навредить системеvs220А при чём тут вирусы и антивирусы? |