Перейти к содержанию
Vadym.O

Какие типы (РАСШИРЕНИЯ) файлов можно не проверять ?

Автор Vadym.O, в Помощь

Recommended Posts

ANDYBOND    283

ANDYBOND
Опубликовано

To dr_dizel!

Согласен. Логично. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
...Расширить до нужных размеров и использовать....

Виталик? :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
А разве их можно запустить? ;)

Речь не идет о том, "что может запустить пользователь".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ANDYBOND    283

ANDYBOND
Опубликовано

Я уже понял.

Виталик? :)

К счастью, нет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
...есть такая штука, джойнер называется, грубо говоря к лиценхионной программе скачаной с офф. сайта и в которой нет виря, прикрепляется вирус, т.е. их как бы склеивают...

А много таких обоюдорабочих вариантов можно джойнером наклепать из типов, что представлены, например, на первой странице темы? :rolleyes:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vidocq89    0

vidocq89
Опубликовано
А много таких обоюдорабочих вариантов можно джойнером наклепать из типов, что представлены, например, на первой странице темы?

если честно, то я не совсем понял смысл вопроса... но что бы не было никаких недоразумений в кратце расскажу принцип джойнера (вдруг кто не знает) - джойнер создает исполняемый файл в ресурсах которого (или не в ресурсах) хранятся те файлы, которые "склеили". При запуске этой склейки, файлы просто извлекаются во временную папку (это необязательно - можно и в любую другую - зависит от автора джойнера) и запускаются. Т.е при склейке например картинки и вируса получается ехешник, в котором храняться эти два файла, а при запуске его запуститься вирус из временной папки и картинка откроется в том просмотрщике картинок, который стоит в вашей системе на просмотр данного формата...

не слишком коряво рассказываю?...

все нормальные антивир. компании стараются своевременно детектить джойнеры. Как? Очень просто - детектят стаб джойнера.

Но в виду того, что джойнер грубо говоря это пара строк кода, то...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
если честно, то я не совсем понял смысл вопроса...

Я собственно о том, что не всегда склеивание различных типов файлов сможет породить работоспособную связку из двух запускаемых файлов для сокрытия вируса (например .dll + .ico). Но это к слову.

Как много типов результирующих файлов может породить джойнер (кроме очевидного .exe)?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано

В продолжение темы.

Вот этот файлик в архиве какого типа?

virus.zip

Кстати, доделать его до дроппера средствами винды очень просто.

virus.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dan    10

dan
Опубликовано

Не хочу цитировать каждого второго и говорить что Вы и Вы не правы.

Проведите эксперимент (на программе Far Manager):

идём в папку с Far'ом и копируем far.exe в far.txt .

после этого делаем: start far.txt

Удивляемся...

Дело в том, что винде пофигу что её просят запустить, лишь бы было формата PE.

Аж уж сколькими способами можно заставить винду сделать на файл WinExec или CreateProcess я тут описывать не буду.

И именно по этому мне очень смешно, когда я вижу антивирусы типа Авиры, которые в настройках по умолчанию монитором проверяют файлы по расширениям.

Самого пользователя они может и защитят допроверяя файл при запуске, но от распространения вирья на другие компы сети защищают весьма поверхностно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
после этого делаем: start far.txt

Удивляемся...

Дело в том, что винде пофигу что её просят запустить, лишь бы было формата PE.

Ну, это start-у пофигу, а вот винде не очень. Так и пользователя можно просто попросить написать "format c:".

И я что-то не понял, с кем вы не согласны. Вроде все уже согласились, что проверять надо всё. Да и само понятие "типа" может быть не всегда точно определено.

Кстати, какого же типа тот мой файл?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dan    10

dan
Опубликовано
Ну, это start-у пофигу, а вот винде не очень. Так и пользователя можно просто попросить написать "format c:".

И я что-то не понял, с кем вы не согласны. Вроде все уже согласились, что проверять надо всё. Да и само понятие "типа" может быть не всегда точно определено.

Кстати, какого же типа тот мой файл?

Файл удовлетворяет формату архива cab и формату bat и так же ещё десяткам других текстовых форматов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

NickXists    5

NickXists
Опубликовано
Ну, это start-у пофигу, а вот винде не очень...

Shell-функциям - да, не все равно: проверяется ассоциация

notepadwithdummyextbo3.th.png

shexecba3.th.png

shexecreultsaj5.th.png

А CreateProcess-у, как уже было сказано выше, расширение файла абсолютно до лампочки:

crprcyt5.th.png

crprcresultskr0.th.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Mike    125

Mike
Опубликовано
рассмотрим к примеру расширение dwg ...

небольшой оффтоп, просто вспомнилось:

самое страшное, что я когда-либо держал в руках, это был вирус, не любивший расширение dwg.

а в этой теме в оффтопах я игрался с текстовыми файлами:

http://www.anti-malware.ru/forum/index.php?showtopic=2849

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
А CreateProcess-у, как уже было сказано выше, расширение файла абсолютно до лампочки:

Вы бы ещё привели шеллкод в юникоде и сазали, что ведь текст не зачитывается вслух. :lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

NickXists    5

NickXists
Опубликовано
Вы бы ещё привели шеллкод в юникоде и сазали, что ведь текст не зачитывается вслух. :lol:

: )

ok. "а на словах просила передать":

при иcпользовании функций создания процесса (в отличие, например, от запуска ShellExecute с параметрами вида "open"\"print") расширение файла {в обсуждаемом смысле} значения не имеет.

Процесс (визуально) создается успешно, делать с ним дальше можно все, что позволяет фантазия, а функция возвращает значение, соответствующее "успеху".

p.s.

- Сократ, а не вбить ли мне верное представление прямо вам в голову?!

- Нет! Вот этого не надо!

© "Сократ"

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
ok. "а на словах просила передать":

Вы с кем-то спорите?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Б..    10

Б..
Опубликовано

А какой прогой можно открыть файл с расширением DST? и опасно ли это?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано
Гугл в помощь

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано

Б.. Есть такая программка, которая в этом может помочь.

DST.JPG

Если не находит - подключаетесь к онлайн-базе.

DST - Это какие-то детективные истории. :) Какая-то ерунда на английском.

1) WAIN (Scanner Spec) Data Source DLL

2) Tajima Embroidery Machine Stitch File

3) MicroImages Priroda Lens Correction Photo-grammetric Distortion Values (radius/distortion pairs) Specification (MicroImages, Inc.)

4) Orchida Embroidery System (Orchida Soft)

5) PC-RDist Distribution File (Pyzzo)

6) Micrografx Designer Template

7) C++ Desktop Settings (Borland Software Corporation)

8) CubicPlayer file

9) ViPNet Products Encryption Key Set (Infotecs)

10) Home Embroidery Format

См. ниже у Umnik ссылку на закачку новой версии программы Определитель. А свой файл я удаляю, чтобы он не висел тут зря.

post-3999-1211456124_thumb.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

Андрей-001

А еще можно было сделать так ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Помощь

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] (!) Невозможно открыть процесс: start.exe [2960] Полное имя                  START.EXE
      Имя файла                   START.EXE
      Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
       ---------------------                         Самый обычный запуск и чистая система. Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат...  
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      В окнах -  появилась реклама. ( ожидаемо ) uVS этого не видит. ------------ New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows" -Name "Explorer" -force New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Explorer" -Name "DisableNotificationCenter" -PropertyType "DWord" -Value 1 New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\PushNotifications" -Name "ToastEnabled" -PropertyType "DWord" -Value 0 ----------------- # Add HKEY_Users as a PS Drive New-PSDrive -PSProvider Registry -Name HKU -Root HKEY_USERS # Add the default user's registry hive so it is viewable/browsable by PowerShell Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE LOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove notification group policies from current user Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove notification group policies from local machine Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer' -Name 'DisableNotificationCenter' -Force # Remove notification group policies from default user Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove default user's registry hive Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE UNLOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove HKU_Users from PowerShell Remove-PSDrive -Name HKU --------------- Disable Security and Maintenance Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance Value Name: Enabled (DWORD)
      Value: 0 Disable OneDrive Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.SkyDrive.Desktop Value Name: Enabled (DWORD)
      Value: 0 Disable Photos Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.Windows.Photos_8wekyb3d8bbwe!App    
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Как оказалось всё гораздо хуже... Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника ) значит работает 32-х битный модуль... на 64-х битной системе.    
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      В общем судя по всему активации 64-х бит. модуля мешал Windows Defender По хорошему нужно логи\журналы защитника в образ автозапуска сохранять. Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть. Возможно чтобы антивирусы так не реагировали что-то придумать.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language  [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000  [C:\WINDOWS] (!) Не удалось активировать 64-х битный модуль ----------- Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download
×