книги хакеры / журнал хакер / 105_Optimized

представляют собой разновидность обычных скрытых каналов (Covert Channels), однако, в отличие от последних, не только не устанавливают своих соединений, но и вообще не генерируют никакого собственного трафика! Передача информации осуществляется исключительно путем модификации пакетов, пролетающих мимо атакованного узла.

Соль в том, что эти пакеты не направляются к хакеру, а шуруют своими путями на различные узлы интернета, например www.google.com, за счет чего достигается высочайшая степень анонимности.

Естественно, возникает резонный вопрос: как хакер сможет добраться до содержимого пакетов, идущих мимо него? Для этого необходимо подломать один из промежуточных маршрутизаторов (как правило, принадлежащих провайдеру, обслуживающему атакуемую организацию) и установить на него специальный модуль, анализирующий заголовки TCP / IP-пакетов на предмет наличия скрытой информации или ее внедрения.

Таким образом, хакер организует двухсторонний секретный пассивный канал связи с узлом-жертвой, не только засекретив факт передачи левой информации, но еще и надежно замаскировав свой IP, который может определить только администратор взломанного маршрутизатора, но никак не владелец узла-жертвы!

Рассмотрим схему взаимодействия с целевым узлом (жертвой) по скрытому пассивному каналу. Хакер (обозначенный буквой Х) каким то не относящимся к обсуждаемой теме образом забрасывает на целевой узел (обозначенный буквой A) shell-код, захватывающий управление и устанавливающий back-door вместе со специальным модулем, обеспечивающим функционирование PCC канала. Теперь все TCP / IP-пакеты, отправляемые жертвой во внешний мир, содержат незначительные

изменения, кодирующие, например, пароли или другую конфиденциальную информацию.

Часть этих пакетов проходит через внешний маршрутизатор B, заблаговременно взломанный хакером, внедрившим в него PCC-модуль. PCC-модуль анализирует заголовки всех TCP / IP-пакетов на предмет скрытого содержимого, после чего декодирует его и отправляет хакеру по открытому каналу. Передача данных от хакера к жертве осуществляется по аналогичной схеме. PCC-модуль, установленный на маршрутизаторе, выявляет пакеты, направленные на целевой IP-адрес, и модифицирует их заголовки в соответствии с выбранным принципом кодирования информации.

Таким образом, мы получаем защищенный канал A-B и открытый B-X, однако хакеру ничего не стоит общаться с узлом B через анонимный proxy серверилидажевыстроитьцепочкуизнесколькихзащищенных хостов.К тому жевыбормаршрутизатораBнеобязателен.Главное,чтобы маршрутизаторрасполагалсямеждуцелевымузломА иоднимизузлов,с которымиобщаетсяжертва.

ВовластипротоколаIP

ВозьмемпротоколIPипопробуемсоздатьнаегоосновескрытыйпассивныйканал.Средимножестваполезныхибесполезныхполейзаголовка нашевниманиепривлекает16 битовоеполеIdentification(смотририсунок «ФорматзаголовкаIP-пакета»),генерируемоеоперационнойсистемой случайнымобразомииспользуемоедляидентификациидейтаграммы вслучаееефрагментации.Узел-получательгруппируетфрагментыс одинаковымиIP-адресамиисточника / назначения,типомпротоколаи, разумеется,идентификатором.

Схема взаимодействия с целевым узлом (жертвой) по скрытому пассивному каналу

Строгихправил,определяющихполитикугенерацииидентификатора, вRFCнет.Одниоперационныесистемыиспользуютдляэтоготаймер, другиевычисляютидентификаторнаосновеTCP-пакетов,чтобыпри повторнойпередачеTCP сегментаIP-пакетиспользовалтот жесамый

идентификатор,однакодажееслиидентификаторокажетсяиным,ничего ужасногонепроизойдет.Нуподумаешь,чуть чутьупадетскорость. Фишкавтом,чтоPCC-модульможетбеспрепятственномодифицировать полеидентификаторапосвоемувкусу,передаваяскаждымIP-пакетом 16битполезныхданных.Этовтеории.На практике женампотребуется выделитьнесколькобитдлямаркировкисвоихпакетов,иначеPCC-при- емникнизачтонесможетотличитьихотостальных.Пустьв12младших битахпередаютсяполезныеданные,авчетырехстарших—ихконтроль- наясумма.ТогдаPCC-приемникуостанетсявсеголишьвзять12бит, рассчитатьихCRCисравнитьсоставшимисячетырьмябитами.Еслиони совпадут,тоэтонашпакет,если женет—пускайидетсебелесом.

Такжеследуетпозаботитьсяонумерациипакетов,посколькупорядоксле- дованияIP-пакетоввобщемслучаенесовпадаетспорядкомихотправки. А дляэтоготакжетребуютсябиты,врезультатечегореальнаяинформаци-

Формат TCP-заголовка

0 4 8 16 19 24 32

---------------------------------------------------------------------------------------------

| Source Port | Destination Port |

---------------------------------------------------------------------------------------------

| Sequence Number |

---------------------------------------------------------------------------------------------

| Acknowledgment Number |

---------------------------------------------------------------------------------------------

| HLEN | Reserved | Code Bits | Window |

---------------------------------------------------------------------------------------------

| Checksum | Urgent Pointer |

---------------------------------------------------------------------------------------------

| Options | Padding |

---------------------------------------------------------------------------------------------

| Data |

---------------------------------------------------------------------------------------------

оннаяемкостьIP-заголовкастремитсякодномубайту,что,вобщем то,не такужиплохо.Для передачинебольшихобъемовданных(типапаролей) вполнесойдет.Главное—незабыватьотом,чтоидентификатордолжен: а) бытьуникальным; б) выглядетьслучайным.Поэтомунеобходимоприбегнутькскремблированию,тоестькналожениюнапередаваемыйтекст некоторойпсевдослучайнойпоследовательностиданных(известнойкак PCC-отправителю,такиPCC-получателю)черезоператорXOR.

Формат заголовка IP-пакета

Кромеидентификатора,можно(снекоторойосторожностью)менятьполя TTL(TimeToLive—максимальноевремяжизнипакета),типсервиса(TOS) ипротокола(protocol).Однакоэтослишкомзаметноилегкообнаруживаетсяпросмотромдампов,полученныхлюбымснифером.

Нашизвозчик—протоколTCP

ПриустановкеTCP соединенияпередающаясторона(узелA)устанавливаетфлагSYNивыбираетпроизвольный32 битныйномерпоследовательности(SequenceNumber,илисокращенноSEQ).Еслипринимающая сторона(узелB)согласнапринятьузелА всвоиобъятия,онаотправляет емупакетсустановленнымфлагомACKиномеромподтверждения

(AcknowledgmentNumber),равнымSEQ+1,атакжегенерируетсвойсоб-

ственныйномерпоследовательности,выбираемыйслучайнымиобразом. УзелA,получивподтверждение,поступаетаналогичнымобразом,что нагляднодемонстрируетследующаясхема:

ISN—этоначальныйномерпоследовательности(InitialSequence Number),уникальныйдлякаждогоTCP / IP соединения.С моментаустановкисоединенияномерапоследовательностипланомерноувеличи-

ваютсянаколичествопринятых / отправленныхбайт.Впрочем,небудем углублятьсявтеорию.Остановимсянатомфакте,что32 битноеполеISN можноизменятьпсевдослучайнымобразом,«промодулированным» секретнымиданнымии…никтоничегонезаметит!Конечно,пропускная способностьупадетдочетырехбайтнакаждоеTCP соединение,уста- навливаемоеузлом-жертвой,аTCP соединенийустанавливаетсянетак ужимного(особенноеслимыимеемделонеснагруженнымсервером,а срабочейстанцией).Тем неменеедляперекачкипаролейиудаленного управлениячерезкоманднуюстрокудажетакойскромнойпропускной способностивполнедостаточно.

ЖаннаРутковская,решивнеограничиватьсебялабораторнымиопытами, разработалапротоколNUSHU,создающийскрытыепассивныеканалы посредствоммодификацииISNспоследующимшифрованиемпоследне- гоалгоритмомDESнаосновеидентификатораIP-пакета(IP.id),порта-ис-

точника(TCP.sport)иIP-адресаназначения(IP.daddr).

Сеанспрактическоймагии

ИдемнасайтЖанныРутковской—invisiblethings.org,видимразделсинстру-

ментамиtools,находимвнем«NUSHU—passivecovertchannelengineforLinux 2.4kernels»икачаемархивисходныхтекстов—invisiblethings.org/ tools/nushu/n ushu.tar.gz(всего18Кб).Распаковываем,компилируем.Компиляцияосуществляетсястандартно.Простозапускаемутилитуmakeиполучаемтримодуляядра: nushu_receiver.o(приемник),nushu_sender.o(передатчик)иnushu_hider.o.

Приемникустанавливаетсянаполоманныймаршрутизатор,передатчик

—нацелевойузелжертвы.Для организациидвухстороннейсвязиприемникипередатчикустанавливаютсянаобаузла.Модульnushu_hider.o ворганизациискрытогоканаланеучаствуетипредназначендляобмана штатныханализаторов(типаtcpdump),непозволяя им обнаруживать факт изменения ISN.

Механизм шифрования ISN в протоколе NUSHU

Из readme следует, что модуль-передатчик обрабатывает следующие параметры командной строки:

dev=<device>, где device — сетевое устройство, с которым предполагается работать (например, eth0);

cipher=[0|1], где 0 означает передачу без шифрования, а 1 предписывает использование DES;

key=”string”, где string — произвольная строка-маркер, идентичная строке-маркеру, установленной на модуле-приемнике (используется только в том случае, если шифрование выключено, иначе игнорируется); src_ip=<ip_where_nushu_sender_is_placed> — IP-адрес узла, на котором установлен передатчик.

Модуль-приемник, помимо описанных выше ключей dev, cipher и key, обрабатывает аргумент exclude_ip=<172.16.*.*>, задающий список неприкосновенных IP-адресов, при отправке пакетов на которые протокол NUSHU задействован не будет, поскольку ISN останется неизменным (этот параметр является опциональным).

Модуль nushu_hider.o загружается без каких либо параметров и только в том случае, если в этом возникает необходимость.

Хорошо,всемодулиуспешнозагружены,ядрофункционируетнормально ивпанику,судяповсему,впадатьнесобирается.Что делатьдальше?

А ничего!Ведьэтотолькодвижок,обеспечивающийфункционирование PCC каналов.К немуможноприкрутитькейлоггерилиудаленныйshell,но этоужепридетсяделатьсамостоятельно.А как?!Ни readme,нисопроводительныепрезентациинедаютответанаэтотвопрос,поэтомуприходится зарыватьсявисходныетекстыиразбиратьихнаотдельныебайты. Начнем с передатчика, реализованного в файле sender.c. В процедуре init_module(), отвечающей за инициализацию модуля, сразу же бросаются в глаза следующие строки:

struct proc_dir_entry *proc_de = proc_mkdir ("nushu", NULL);

create_proc_read_entry ("info», 0, proc_de, cc_read_ proc_info, NULL);

struct proc_dir_entry * wpde = create_proc_entry ("message_to_send", 0, proc_de);

Все ясно! Модуль использует псевдофайловую систему / proc, создавая директорию nushu, а в ней — два файла: info и message_to_send, с которыми можно работать с прикладного уровня как с обычными устройствами (если быть точнее, псевдоустройствами).

Аналогичным образом обстоят дела и с приемником, реализованным в файле receiver.c, ключевой фрагмент которого приведен ниже:

struct proc_dir_entry *proc_de = proc_mkdir ("nushu", NULL);

xàêåð 09 / 105 / 07

Полезные

ссылки

•DEVCC—законченнаяреализациямодуляPCC каналов,использую щаявкачестветранспортногосредстваопцииштампавременивTCPзаголовках,спроектированнаядляработысядрамиLinux’аверсии2.4.9

иливыше:www.mit.edu / ~gif / covert-channel / src.

•CraigH. Rowland«CovertChannelsintheTCP / IPProtocolSuite»—ста тья,посвященнаявопросампроектирования,реализацииивыявления скрытыхпассивныхканалов,скучейдемонстрационныхпримеровна Си:www.firstmonday.dk / issues / issue2_5 / rowland.

•AndrewHintz«CovertChannelsinTCPandIPHeaders»—основные тезисыпрезентации,рассматривающейдоступныеспособы органи зации PCC каналов и методы их обнаружения, а также затрагиваю щей вопросы пропускной способности и устойчивости PCC каналов к различным proxy серверам, маршрутизаторам и брандмауэрам: guh.nu / projects / cc / covertchan.ppt.

•JoannaRutkowska«LinuxKernelBackdoorsAndTheirDetection»—

презентацияЖанныРутковской,рассказывающаяометодахсокрытия иобнаруженияrootkit’ов,использующихPCC каналы:invisiblethings. org / papers / ITUnderground2004_Linux_kernel_backdoors.ppt.

•JoannaRutkowska«PassiveCovertChannelsImplementationinLinux Kernel»—ещеоднашикарнаяпрезентацияЖанны,буквальнонашпи гованнаятехническимиподробностямипоорганизациисетевогостека Linux’аитехникеперехватачужихпакетовсмодификациейихзаголовков: invisiblethings.org / papers / joanna-passive_covert_channels-CCC04.ppt.

•JoannaRutkowska«TheImplementationofPassiveCovertChannelsinLinux Kernel»—доклад,детальноописывающиймеханизмысозданияPCC ка налов:invisiblethings.org / papers / passive-covert-channels-linux.pdf.

create_proc_read_entry ("message_received", 0, proc_ de, cc_read_proc_message, NULL); create_proc_read_entry ("info", 0, proc_de, cc_read_ proc_info, NULL);

Как видно, вместо устройства message_to_send на этот раз создается message_received, из которого можно читать получаемые сообщения через стандартные функции ввода / вывода. В общем, имея на руках исходные тексты, со всеми этими причиндалами совсем несложно разобраться, тем более что их суммарный объем составляет всего 69 Кб.

Заключение

Помимо описанных существуют и другие транспортные средства, пригодные для передачи скрытого трафика, например опция штампа времени в TCP-заголовке. HTTP-протокол дает еще большие возможности, поскольку включает в себя множество факультативных полей, которые можно безболезненно модифицировать в весьма широких пределах. Однако все это слишком заметно, и наиболее стойким к обнаружению на сегодняшний день остается протокол NUSHU, работающий с ISN. Может ли атакованный администратор обнаружить скрытые пассивные каналы хотя бы теоретически? Скрупулезный анализ сетевого трафика позволяет выявить некоторую ненормальность распределения ISN, но для этого требуется обработать сотни тысяч «хакнутых» пакетов, сравнивая их с оригиналами. П потому намного проще выявить посторонний ядерный модуль, отвечающий за создание и поддержку PCC каналов, используя общие методики верификации целостности системы. Однако это уже совсем другой разговор, к которому мы еще вернемся. z

111

deeoni$

/ DEEONIS@GMAIl.COM /

ство, создав свой первый зловред, сразу же отсылал его в какую-нибудь антивирусную лабораторию. Повзрослев и

став умнее, вирусописатель, наоборот, начинает стремиться к тому, чтобы его творение как можно дольше оставалось незамеченным. а если этого достичь невозможно, он стремится к максимально быстрому и удобному выпуску стерильной версии.

Допустим, есть некий программист-вирусописатель, назовем его Coder. он получил заказ от представителей интернет-андеграунда на создание некоторой троянской программы. Причем троянец должен быть публичным и раздаваться всем в неограниченном количестве. заказчик выдвинул одно важное требование: как только зловред будет попадать в

«легкие деньги!» — подумают некоторые. и будут правы, но при одном но. нужен правильный подход, а точнее, технология.

неМного теории

Проведем небольшой ликбез по работе антивирусных сканеров. итак, все сканеры имеют базы сигнатур вирусов. сигнатура вируса — это нечто вроде человеческих отпечатков пальцев для программ. Если вредоносное По попадает в антивирусную лабораторию, то с него сразу же «снимают отпечатки пальцев», или, говоря по-другому, получают его сигнатуру. В большинстве случаев это набор байт по определенным смещениям в файле.

Теперь немного о том, как выглядит процесс идентификации вируса

влаборатории. В общем случае файл проходит несколько этапов. Первый — это проверка подозрительной программы на как можно большем числе антивирусных сканеров других производителей. Если несколько антивирусов идентифицируют программу как вирус, то компьютер автоматически получает сигнатуру файла и добавляет его

вбазу. Если сканеры третьих производителей ничего не показали, то

вдело может включиться полуавтоматический анализатор. Это специальное ПО, которое запускает потенциального зловреда в особой «песочнице» и отслеживает все его действия. На основании этих действий сигнатура файла также может быть добавлена в базы. Если и эта процедура ничего не дает, за файл берется самый совершенный на сегодняшний день программно-аппаратный комплекс — человеческий мозг. Другими словами, несколько специально обученных дятлов тыкают на разные кнопки клавиатуры, возят по столу мышкой и через несколько минут выносят свой вердикт. Если программа окажется слишком хитрой, оригинальной и т.д., то она попадет к профи, которые разберут ее по косточкам и точно скажут, что это такое.

Большинство вирусов и прочей нечисти отсеивается на первых двух этапах без всякого участия человеческого интеллекта. Те немногие, что пробились через кордоны автоматики, застревают на вирусных аналитиках. Таким образом, труд нашего программиста под ником Coder будет уничтожен буквально через несколько минут после попадания в антивирусные лаборатории. Но не просто же так ему платят по 1k американских денег в месяц? Coder должен бдить и на первый же писк антивируса реагировать модификацией своего творения.

Ближе к практике

Теперь, когда Coder знает, как работают антивирусные сканеры, он может смело заняться анализом своего кода с целью выявления мест, которые вызывают подозрения у антивирусного ПО. Но как же это сделать? Многие опытные вирусописатели могут посоветовать сделать свой код максимально похожим на тот, который генерируется компиляторами (если зловред написан на ассемблере). Но каждый раз просматривать исходник и пытаться наугад определить, что же именно вызвало такую бурную реакцию у антивируса, совсем неправильно. Есть метод, который позволяет с математической точностью определить, какой именно байт в файле является сигнатурой для антивируса.

Как известно, все исполняемые файлы в win32 имеют PE-формат. У них есть заголовок, секция кода, секция данных, импорта, экспорта и т.д. Для начала надо определить, где в файле находится каждая секция и сколько байт она занимает. Когда это сделано, затираем нулями по одной секции. Советую начать с секции данных и закончить секцией кода.

Итак, мы затерли первую секцию. Теперь самое главное — проверяем файл антивирусом. Если зловред не детектится, то заветный байтик — в

этой секции. Однако пусть это будет не так, и бурная реакция сканера все еще имеет место. Тогда мы восстанавливаем затертую секцию и забиваем нулями другую, затем опять проверяем и смотрим результат. Так мы продолжаем до тех пор, пока на файл не перестанет ругаться антивирус. Допустим,секция,вкоторойнаходитсязлосчастныйбайт,определена. Далееметодомделенияпополам(философскийприем«дихотомия»

—примечаниеЛозовского)мывыясним,чтоименнотакраздражает аверов.Методэтотприменительнокнашемуслучаюбудетвыглядетьпримернотак:нужнуюнамсекциюмыусловноделимнадвеполовины.Затем сначалатремпервуюполовинуипроверяемсканером,еслионругается, товосстанавливаемпервуючасть,тремвторуюиопятьпроверяем.Если антивирусмолчит,тотеперьужеделимтучасть,которуютолькочтозатерли, изабиваемнулямиужеееполовины...предварительно,конечно,восстановивсодержимое.Двигаясьдальшепоэтомуалгоритму,мывконцеконцов найдемтотсамыйбайт,которыйтакненравитсяантивирусномусканеру. Теперь дело за малым — надо всего лишь чуть модифицировать код, чтобы этого байта там не было. Это, конечно, легче сделать, если зловред написан на ассемблере, но можно вбить машинные команды и прямо в бинарник.

Все это справедливо только тогда, когда детектирование происходит по коду. Но часто сигнатурами становятся строки в разделе данных или имена функций в импорте. В этом случае нужно просто изменить строку или использовать другую функцию.

Всю процедуру поиска «нехорошего места» в программе можно делать ручками с помощью какого-нибудь hex-редактора. Но настоящий программист напишет тулзу, которая автоматизирует весь процесс. А я приведу пример класса, который значительно облегчает работу с PE-фай- лами. На его основе можно создать инструмент, который сведет процесс нахождения байта сигнатуры к нескольким минутам.

Пишем код

Для работы с файлом в формате PE нам понадобится класс-описание:

ИнтерфейсклассадляработысPE-файлами

class CPEFile

{

public:

virtual VOID WriteDOSHeader(VOID); virtual UINT ReadDOSHeader(VOID); virtual BOOL CheckAccess(VOID); virtual BOOL IsPEFile(VOID); CPEFile();

virtual ~CPEFile();

virtual UINT ReadObjectEntry(VOID); virtual VOID WriteObjectEntry(VOID);

virtual LONG SeekToObjectEntry(VOID); virtual LONG SeekToPEHeader(VOID); virtual UINT ReadPEHeader(VOID); virtual VOID WritePEHeader(VOID); virtual VOID Close(VOID);

virtual BOOL Open(LPCTSTR szPEFile, BOOL ReadOnly = FALSE);

DOSHeader DOSHdr;

PEHeader PEHdr;

ObjectEntry ObjEntry;

CStdioFile m_hPEFile; protected:

DWORD dwOffsetToPEhdr;

};

ФункцияReadDOSHeaderсчитываетвбуферDOS-заголовокPE-файлаи возвращаетколичествозаписанныхбайт.CheckAccessпроверяетуPE-файла атрибутReadOnly.Еслифайлтолькодлячтения,тофункциявернетFALSE. IsPEFileпроверяет,являетсялифайлисполнимымвформатеPE.Еслиэтотак, торезультатомработыфункциибудетTRUE.Посмотримнакодэтойфункции:

КодметодаlsPEFile()

BOOL CPEFile::IsPEFile(VOID)

{

DWORD tmp; m_hPEFile.SeekToBegin();

m_hPEFile.Read(&DOSHdr, sizeof(DOSHeader)); if(DOSHdr.Signature != MZ_SIGN)

return FALSE;

dwOffsetToPEhdr = DOSHdr.OffsetToPEHeader; m_hPEFile.Seek(dwOffsetToPEhdr, CFile::begin); m_hPEFile.Read(&tmp, sizeof(DWORD));

if(tmp != PE_SIGN) return FALSE;

return TRUE;

}

Здесь функция ReadObjectEntry считывает описание секции из заголовка в буфер. Результатом ее работы будет количество считанных байт. WriteObjectEntry записывает описание секции в заголовок.

SeekToObjectEntry перемещает указатель для работы с файлом на начало описания секции в заголовке, а SeekToPEHeader перемещает указатель на начало PE-заголовка. ReadPEHeader считывает PE-заголовок, а Close и Open соответственно закрывают и открывают файл.

Функция Open принимает два параметра. Первый — это szPEFile: имя файла, который следует открыть, а второй — ReadOnly: следует ли откры-

вать файл только для чтения.

DOSHeader, PEHeader и ObjectEntry — это структуры, описывающие соот-

ветствующие части PE-файла. С некоторыми из них можно ознакомиться ниже.

ОписаниеструктурDOSHeaderиObjectEntry typedef struct

{

DWORD OffsetToPEHeader; //зарезервировано } DOSHeader;

typedef struct

{

BYTE ObjectName[8];

DWORD VirtualSize;

Microsoft OneCare

Чтобы скрыть зловреда от большинства антивирусов, достаточно изменить всего один байт, который является ключевым в сигнатуре. Но есть один продукт, который этого не боится, — это Microsoft OneCare. Да, да...

Это именно тот антивирус, который занимает последние места в тестах и отчаянно матерится всем интернет-сообществом. Но те ребята, что создавали антивирусный движок, подошли к этому делу основательно.

Если OneCare детектит зловреда по секции кода, для его сокрытия недостаточно изменить один байт. Надо найти и переделать несколько инструкций, которые раскиданы по всему телу файла. Это очень усложняет процесс поиска, ведь для этого нам нужно затереть уже не один, а несколько плохих байт. Если хотя бы один байт мы не найдем, то изменение всех остальных нам не поможет. Мы даже не узнаем, правильно ли мы их нашли, ведь они зависимы и для их выявления надо разрабатывать специальный алгоритм. Он не очень сложен, но все же достаточно трудоемок.

ага!Янашелтвойвирусняк, которыйтрафикснифална моемвиндовомсерваке!

Явсепотер,можешьне радоваться!

нупотертыневсе,допустим. скорояузнаювсетвоипароли кплатнымпорносайтам.

хе-хе.

DWORD SectionRVA;

DWORD PhysicalSize;

DWORD PhysicalOffset;

BYTE Reserved[10];

DWORD ObjectFlags;

}ObjectEntry;

используя этот класс, легко можно написать утилитку, которая будет помогать в определении плохого байта. она сможет давать пользователю возможность выбрать, какую именно секцию тереть. Если забивание секции нулями помогло, то появляются две кнопки: «затереть первую половину» и «затереть вторую половину», а также третья, по нажатию на которую программа будет понимать, что дальше надо работать с той половиной, которую выбрал пользователь. То есть фактически программа будет выполнять лишь затирание нужных частей исполнительного файла, а его проверку и логику алгоритма половинного деления будет осуществлять пользователь. Таким образом поиск интересующего нас байта может стать делом нескольких минут.

развитие идеи

можно пойти и дальше. лень, как известно, — двигатель прогресса, и весь процесс определения неугодного антивирусу байта можно свести к одному клику. сделать это очень просто. Почти у каждой уважающей себя антивирусной компании есть консольная версия своего продукта. Так вот нажимать на кнопочки и анализировать результат работы сканера будет тоже программа. После каждого забивания нулями определенного участка файла тулза будет запускать консольную версию антивируса и сканировать бинарник с затертым куском, а затем парсить выдачу результатов. Делается это не очень сложно, а жизнь способно упростить до предела. особо извращенные программисты могут попробовать распарсить результаты скана антивирусов с графическим интерфейсом.

Таким образом, получается, что для определения плохого байта достаточно запустить утилиту, выбрать, какой файл будет проверяться, нажать кнопку «сТарТ» и, как нас учит компания майкрософт, «откинуться на спинку кресла».

Как уже говорилось выше, после того как заветный байтик найден, достаточно лишь немного изменить исходный код. Если зловред написан на ассемблере, это не составит никакого труда, надо лишь немного напрячь мозг и подумать, чем именно заменить эту инструкцию. иногда достаточно вставить пару бессмысленных команд, и троян становится безгрешным для сканеров.

очень часто антивирусы реагируют на текстовые строки в теле файла. Допустим, если вредоносная программа — это какой-нибудь троян-даун- лоадер, то антивирус может реагировать на строку с линком к скачиваемому им файлу. зная это, хитрый хакер способен пойти на небольшую уловку: зашифровав реальную строку, он оставит фейковую, отвлекающую внимание. В 90% случаев аверы будут детектить трояна по ней. То есть для выпуска следующей чистой версии достаточно изменить эту строку. Первое время фокус будет прекрасно работать, но в конце концов обман будет раскрыт. чтобы оттянуть этот момент, надо придумывать фейковые строки, максимально приближенные к реальности.

многие вирусописатели могут возразить мне, сказав, что антивирусы не детектируют зловредов всего по одному байту. Это в какой-то степени правда, но есть одна известная мудрость: «Прочность цепи определятся самым слабым ее звеном». В нашем контексте это значит, что достаточно изменить всего один, но самый «слабый» байт, и вся сигнатура станет бесполезна. Такой недостаток есть практически во всех популярных антивирусах. NOD32, Avast, Kaspersky, AntiVir и т.п. — все они страдают этим. Есть и одно исключение, о нем можно почитать во врезке.

заключение

современные антивирусы борются за клиента не качеством продукта, а количеством записей в базе сигнатур. оно и понятно, когда в день появляется по несколько сотен вредоносных программ, надо как можно быстрее добавить их в свои базы и обеспечить защиту пользователя. но люди, которые создают этих зловредов, тоже не сидят сложа руки и постоянно выпускают новые версии. метод, описанный в статье, — лишь один из способов, с помощью которого «чистую» версию троянца/червя и т.д. можно выпустить буквально через несколько минут после попадания его сигнатуры в базы антивирусных сканеров.

Думаю, наш программист под ником Coder воспользовался подобной технологией, исправно получает свои честно заработанные $1000 каждый месяц и чувствует себя счастливым человеком. антивирусные компании тоже довольны... у них есть, чем пополнить свои базы, а значит, клиенты будут и дальше покупать их продукт. счастлив и рядовой пользователь

— он видит, что его любимый антивирус развивается и находит все новых и новых зловредов. Вот такая вот гармония :). z

inSideR

/ bRAIN_INSIDER@MAIl.RU /