Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 49 50 51 52 53 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 20.03.2012 11:59:16
ну, скажем для работы техподдержки. т.е. для работы на определенном уровне.
если заметил, то и ESET планировал подписывать свои скрипты в ESET sysinspector.
там есть такая проверка - скрипт не подписан. Значит планировали подписание скрипта.
чтобы не был изменен.
------
скажем, неверно был скопирован с форума, или самостоятельно человек начинает что-то в нем править, или третий кто-то правит скрипт на форуме.
Изменено: santy - 20.03.2012 12:01:53
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.03.2012 13:41:46
Santy
Идея с шифрованием - это хорошая теоретическая идея !
Практически же...
Все скрипты будут выглядеть примерно так:?

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

&g<В¦&g%•f_Р“Of_Р— O  fIлвfa_Ў•Г¦^f`fС‘O   f_^OfРЋ>Of¦¦ROf_ZOf¦¦ROf_JOfРЋ0 f0В¶^
fчгf<^JOf%•f_> _Г¦fРЋVOf%•_d _Г¦f%^JOf<^>O^•и>С‰f<ыиQСЏfРЋ>Of>    fв„–    fС”    РёFСЌf>Рђ0"-Of<РЁ^•f<>-OиЫэf<^-Of_?_   0"Р» В¦_¦лрfSf<G>fС‡&VOfPf3Рўf0В¶^
fчуfRРёР¬ f>Рђ0"Р˜С‰f<dVOf0В¶^
fчгfZf¦Вf<^JOf%•_Г¦f0¶¦
f+Р’f;Р‘0+В¦ f<Р‘f%•f+Р˜fZ0"u f¦ВfPf3Рўf0В¶^
fчуfQи' fYf>А0"lщf0¶^
fчгf<^JOf<¦_Г¦f¦¦f;Р0:§ f0¶¦
f;Р-0+В.

Сейчас можно просто посмотреть и увидеть содержание/команды скрипта = принять решение.
А в случае с шифрованием ?
В общем - Я,категорически возражаю !
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 20.03.2012 13:47:48
нет, скрипт не шифруется, а подписывается. поэтому тело скрипта не затрагивается, а добавляется только сигнатура подписи.

Код
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\SYSTEMHOST\24FC2AE333B.EXE
addsgn 988C1F92342A4C9AC1DAAEB1DB5C120525013B1E9FF51F780CA62D37A45F4F1ADC02F3377E5516073B0989D3D65649713BDB4B2AC59AB0A77B7F2D3A9B966273 8 SpyEye
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NKIDTGEYZB0.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE333B.EXE
delall %SystemDrive%\DOCUMENTS AND
SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ
МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NKIDTGEYZB0.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL
delall %Sys32%\MHXUCL.EXE
deltmp
delnfr
delref HTTP://SEARCH.QIP.RU
regt 12
regt 14
restart
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (MingW32) - GPGshell v3.78

iEYEARECAAYFAk9oMLgACgkQZ5uGc3GdD0j2QQCeM7iCWdcwNoehPL1j9/DNh9eu
8fkAoNkkLYAVNFkGYVxe89ropW3UnUHb
=3dDm
-----END PGP SIGNATURE-----
--------
https://www.pgpru.com/forum/rabotasgnupg/suschestvuetliportabeljnyjjgnupgwin
Изменено: santy - 20.03.2012 13:48:42
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 20.03.2012 13:50:29
Цитата
RP55 RP55 пишет:
Все скрипты будут выглядеть примерно так:?
....
В общем - Я,категорически возражаю !
напиши, каким образом ты получил этот текст
Цитата
&g<¦&g%•f_ГOf_З O fIлвfa_Ў•Г¦^f`fёO f_^OfЎ>Of¦¦ROf_ZOf¦¦ROf_JOfЎ0 f0¶^
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.03.2012 14:01:27
Цитата
santy пишет:
напиши, каким образом ты получил этот текст
Я же написал - что это пример !
Ну, я как всегда перестарался в плане размышлений. :oops:
-------
А,что делать, если была пропущена скриптовая команда и её нужно добавить к тексту кода ?
Как тогда быть ?
Копировать в буфер - исправлять и подписывать ?
И к чему это всё ?
К скрипту будет добавляться идентификатор системы ?
Или как ?
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 20.03.2012 14:13:50
конечно, перестарался.  8) разница есть или нет,
подписанный, читабельный скрипт, или то, что ты привел в качестве примера.
----
возможно скрипт можно будет править, исправление не должно влиять на подпись скрипта.
это не сложно будет проверить.
вот если в блоке сигнатуры что-то изменишь, тогда точно не пройдет проверка подписи.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 20.03.2012 14:16:46
Цитата
RP55 RP55 пишет:
А,что делать, если была пропущена скриптовая команда и её нужно добавить к тексту кода ?
Как тогда быть ?
Копировать в буфер - исправлять и подписывать ?
И к чему это всё ?
К скрипту будет добавляться идентификатор системы ?
ЦП однозначно определяет автора скрипта и его доверителей. к системе юзера это не имеет отношения.
-------------
чтобы юзер подписывал свой образ автозапуска - это тоже можно проверить как работает, но его будет сложнее научить пользоваться технологией,
и ему надо будет создавать свою ключевую пару,
но в перспективе и такое возможно,
если ты работаешь серьезно, и с какой то организацией, то можешь, например дело поствить так,
что они присылают тебе только подписанные образы - остальные ты от них не принимаешь.
Изменено: santy - 20.03.2012 14:20:26
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.03.2012 14:22:15
Цитата
santy пишет:
возможно скрипт можно будет править, исправление не должно влиять на подпись скрипта.
Если можно менять - то чего ради подписывать ?
Или как ?
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 20.03.2012 14:28:30
Цитата
RP55 RP55 пишет:
Если можно менять - то чего ради подписывать ?
Или как ?
все надо проверять. сейчас пока не готов на 100% ответить как оно будет. пока я потестил сами инструменты?
саму возможность шифрование буфера обмена, и далее, надо тестировать портабельный gnuPG
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.03.2012 14:58:55
;)
De.Pandajpg.jpg (25.89 КБ)
 
Пред. 1 ... 49 50 51 52 53 ... 167 След.
Читают тему