Перейти к содержанию
priv8v

Троянские вкладки и троянизация приложений

Recommended Posts

priv8v
В этой небольшой статье рассмотрена достаточно актуальная на сегодняшний день тема - троянские вкладки в программах и троянизация вполне легитимных приложений. Сегодня антивирусы разбирают файл буквально по косточкам, файл должен пройти через огонь, воду и медные трубы, что бы ему наконец дали запуститься, поэтому при целевых атаках большую эффективность приносит троянизация приложений - в этом случае не придется скрываться от антивируса и бороться с его злобной эвристикой, эмуляцией, фаерволом и обновлениями - пользователь все сделает за него - ведь приложение-то легитимное и ему нужно все разрешать.

Методы, цели и способы при троянизации разные и специфика их применения тоже сильно варьируется. Автор постарался рассказать о наиболее популярных и интересных способах и методах троянизации приложений...

Источник

Далее - документ PDF во вложении....

Предлагаю обсудить данную статью, рассказать о своем опыте в этой области, поделиться идеями и рассказать, что думаете об этом вообще :)

troj_vkl.zip

troj_vkl.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Предлагаю обсудить данную статью, рассказать о своем опыте в этой области, поделиться идеями и рассказать, что думаете об этом вообще :)

Статья интересная, но я лично начитался приёмами троянизации на разных ресурсах.

ведь приложение-то легитимное и ему нужно все разрешать.

Мою точку зрения знаете - 'доверенных нет, даже если у них цифровая подпись от определённых синдикатов с красивыми логотипами' - , поэтому старую пластинку крутить с песенькой о том, как на самом деле надо защищаться от этого всего не буду.

P.S.: Возможно следующую статью уже знаете. Как сам автор говорит: "Разумеется, это не руководство к немедленному действию. Скорее - предостережение": Ручная троянизация приложений под Windows.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Статья интересная, но я лично начитался приёмами троянизации на разных ресурсах.

Чего в данной статье не хватает? Есть ли что-то новое?

Мою точку зрения знаете - 'доверенных нет, даже если у них цифровая подпись от определённых синдикатов с красивыми логотипами'

В статье не про это, а про следующее:

допустим приложению Х разрешен выход в инет и еще какие-нибудь действия в системе. поэтому если его затроянить, то при алерте от антивируса о том, что файл изменен скорее всего от юзера не будет никаких проверок, а если и будут - то они ограничатся заливкой на вирустотал, т.к сам просмотреть программу под отладчиком он не в состоянии - вот это знает хакер и использует.

:)

А по статье от мыщъх'а - зря он отошел от стандарта masm32 (fasm это уже от лукавого :) ) и танцев можно было и поменьше ...

PS:

troj_vkl.zip ( 84.59 килобайт ) Кол-во скачиваний: 18

Остальные 17 человек считают, что "кг/ам" ?

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Чего в данной статье не хватает?

Подсказка о том, что не всё так плохо для пользователя если только делать то-то или то-то...

Есть ли что-то новое?

Я честно говоря бегло очень прочитал и не особо искал оригинальность или новшества. Мне казалось всё знакомое, но я читаю на очень много языках, поэтому... Прочту ещё раз. ;)

В статье не про это, а про следующее: [...]

Я знаю, что статья преимущественно не об этом. Но троянизация имеет смысл только из-за некоторых неоправданных предположений в мышлении о 'защите', одно из которых я выделил, и на которое я реагировал:

ведь приложение-то легитимное и ему нужно все разрешать.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Подсказка о том, что не всё так плохо для пользователя если только делать то-то или то-то...

Статью я ориентировал не на домохозяйку а на того, кто хотя бы знает на примитивном уровне асм и знает что такое PE-файл :)

Но в эпилоге написаны основные принципы защиты, естественно без упоминания прописных общих истин, хотя парочку все-таки пришлось упомянуть...

Я честно говоря бегло очень прочитал и не особо искал оригинальность или новшества. Мне казалось всё знакомое, но я читаю на очень много языках, поэтому... Прочту ещё раз. wink.gif

Спасибо. В виду того, что вы читаете очень много форумов на разных языках, то наверняка вы видели обсуждения троянских вкладок как от хакеров, так и от разработчиков - последнее меня наиболее интересует, т.к сам я с таким сталкивался в нормальных прогах буквально раза три.

Я знаю, что статья преимущественно не об этом. Но троянизация имеет смысл только из-за некоторых неоправданных предположений в мышлении о 'защите'

Ну, да :)

У пользователя просто нет другого выбора...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z

Спасибо за интересную статью. Материал познавательный.

Выводы и не совсем радостные для себя сделал: скачивание программ из доверенных и проверенных ресурсов – это хорошо, но практика действительно показывает, что самые доверенные и проверенные ресурсы могут неожиданно преподносить сюрпризы (и примеров таких, к сожалению, с каждым днем становится больше)..

Так что надеяться надейся, а сам не плошай… B)

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×