Хакер.1 урок.Теория.

Привет ребят)Итак сегодня я выкладываю первый урок.Надеюсь не последний))Я не буду поправлять текст и всё такое.Я буду давать вам ту информацию которая действительно нужна.Итак приступаем))

Компьютерный вирус​

— это программа, которая копирует са-
му себя. При своем выполнении она создает одну или несколько
собственных копий. Эти копии позже выполняются пользователем
компьютера и также создают несколько копий. Подобный процесс
может длиться очень долго — теоретически, ad infinitum.
Известный теоретик компьютерной вирусологии Фред Кохен
дал следующее определение: «Вирус является компьютерной про-
граммой, которая может инфицировать другие компьютерные про-
граммы, модифицируя их так, чтобы включить в них копию себя».
То есть для жизненного цикла вирусу необходимы: а) другие про-
граммы и б) способность самовоспроизводства. Именно этим вирус
и отличается от «троянских коней». Трояны не могу размножаться
самостоятельно. Они распространяются людьми с помощью раз-
личных хитростей и уловок социальной инженерии.
Фактически, троян — это программа, которая выполняет не-
авторизованную функцию, скрытую внутри авторизованной про-
граммы. Она делает нечто другое, чем заявляется в ее readme. Зло-
дейский или вредный код скрыт под обликом безвредной на вид
программы. Цель трояна — перехват контроля и нанесение ущерба
для системы и данных, записанных на дисках. Троян может содер-
жать в себе вирус. Термин взят из «Илиады» Гомера (если кто не
осилил в детстве, пусть посмотрит фильм «Троя»). В битве за Трою
хитрые греки подарили жителям непокорного города деревянного
коня, в котором прятался отряд лазутчиков. Ламеры-троянцы обра-
довались халяве и приняли подарок. Ну а ночью лазутчики выбра-
лись из деревянного коня, перерезали охрану и открыли городские
ворота. Еще один пример умелого использования хакерских мето-
дов.
При определении троянов всегда возникает путаница. Допус-
тим, я написал программу, которая может определять, форматиру-
ет ли другая программа жесткий диск. Можно ли назвать такую
программу трояном? Если пользователь опасается форматирова-
ния, то моя программа не будет трояном. А если пользователь
неожидает форматирования, то он может считать мою программу тро-
яном. Все зависит от ожиданий пользователя.
Например, программа Aids Information Diskette была признана
трояном. В 1989 году она распространялась в качестве «скорой по-
мощи от вирусов». Пользователи передавали ее друг другу и не
могли нахвалиться качеством дармового продукта, но вскоре их
ожидал сюрприз. После 90 включений компьютера программа AID
скрывала все имена файлов на жестком диске и требовала оплатить
лицензию на свое использование. В документации о таком вариан-
те событий ничего не говорилось. Поэтому суд, в конце концов,
признал ее трояном.
Иногда трояны выступают как средства вымогательства и
шантажа. Порой они выполняют шпионские функции. Кстати, со-
временные антивирусы типа Нортона и AVP (Касперского) также
являются троянами и выполняют шпионские функции. Не верите?
Ладно! Если у вас стоит Norton AntiVirus 2004 года, воспользуй-
тесь утилитой Registry Tracker и посмотрите, как авторизирован-
ный антивирус будет выполнять неавторизированные функции,
расставляя своих «ползунов» по всем другим используемым про-
граммам и оповещая своих «shared companions» о том, что вы вы-
шли в Сеть и готовы к закачке их спамерских продуктов..
Теперь вы понимаете, чем вирус отличается от трояна? Тро-
ян — это хитрость, капкан, логическая бомба, которая «взрывает-
ся» при совпадении заданных условий. А вирус — это живое .неор-
ганическое существо, которое существует в условиях жесткого «ес-
тественного отбора». Троян — это программа, которая самодоста-
точна, но должна распространяться человеком. А вирус распрост-
раняется сам и использует для этого другие программы.
Если бы крохотные вирусы только копировали бы самих себя,
их никто бы не боялся. Но каждый вирус несет в себе дополнитель-
ный код «расплаты». Например, вирус Form по 18-м числам каждо-
го месяца начинал «бикать» каждый раз, когда пользователь нажи-
мал на клавишу кейборда. Вирус Гитлер выдавал на экран полити-
ческие сообщения. «Бешенные» вирусы наносили системе большой
ущерб, стирая файлы.
Кроме того, 99% современных вирусов являются резидентами
памяти. То есть возникает вероятность несовместимости между ви-
русом и выполняемыми программами (например, вирус Jerusalem
использует ресурсы, предназначенные для сетевых продуктов фир-
мы Novell, поэтому вы не сможете применять Novell NetWare в сис-
теме, зараженной вирусом Jerusalem). Все это создает неудобства
для пользователя. А он тем временем запуган различными баснями
о вирусах. Не удивительно, что каждый пользователь, обнаружив-
ший вирус на своей машине, избавляется от него любым способом
— даже таким радикальным, как форматирование дисков. Подоб-
ная борьба обходится людям недешево. Она требует затрат време-
ни и денег. Попробуйте прикинуть, сколько машинного времени
крадут современные антивирусы и сколько денег выкачивается из
пользователей из-за каких-то крохотных и почти безобидных про-
грамм.
Теперь я расскажу вам, что не является вирусами. Запомните:
баги — не вирусы. Например, программа Word имеет серьезный баг.
Допустим, вы работаете с большим файлом, а затем внутри про-
граммы происходит какой-то сбой, и она отказывается сохранять
файл на диске. Вы теряете всю работу, которую проделали с момен-
та предыдущего сохранения. Это не вирус и не троян, а ошибка про-
граммистов. Они — тоже люди и часто ошибаются. И запомните,
когда люди шутят, что «Windows — это вирус объемом 256
мегабайт», то они не шутят. Или это шутка сквозь скрежет зубов-
ный, поскольку львиная доля ошибок, глюков и болезней компью-
тера происходит не потому, что ваши компьютеры плохие, а потому
что они работают под Windows. Конечно, у программистов Microsoft,
как и у нас, имеется гордость, между ними складываются слож-
ные производственные отношения, поэтому они не любят призна-
вать свои ошибки и называют их «багами» (жучками), как будто ка-
кие-то жучки повылазили вдруг из щелочек и поселились в их про-
граммах. Хе! И надо заметить, что все сложные программы имеют
баги. Это непреложный факт!
Ложные тревоги также не являются вирусами. Иногда поль-
зователи сталкиваются со сбоями в работе «железа» и «софта», по-
сле чего запускаются в действие диагностика и сообщения о воз-
можных проблемах. Не нужно считать их следствием вирусной ин-
фекции. Наоборот, чаще всего они вызываются активностью анти-
вирусных программ.
Вся горькая правда заключается в том, что антивирусные про-
граммы также наполнены багами; Их основными ошибками явля-
ются следующие:1) они часто не находят существующие в машине вирусы и
2) заявляют о наличии вирусов, когда их в компьютере не
имеется.
Вот несколько признаков того, что забитая вдруг тревога яв-
ляется ложной:
1. Только один файл выдает тревогу (или, возможно, не-
сколько копий одного и того же файла).
2. Только один продукт выдает тревогу. Остальные утверж-
дают, что система чистая.
3. Вы получаете тревогу, выполняя множество программ, а
не когда выполняете один программный продукт.
4. Мнимый вирус не значится в списке антивирусной библи-
отеки (хотя список недавно обновлялся).
Шутки также не являются вирусами. Некоторые шутки очень
забавны (хотя их жертвы в этом никогда не признаются). Все зави-
сит от чувства юмора. Наверняка вы видели программу, которая
якобы форматирует ваш диск, а затем сообщает, что вас разыграли.
Забавно, правда?
Дропперы (кидалы) — это программы, которые не являются
вирусами и которые не инфицированы вирусами. Но они при сво-
ем выполнении инсталлируют вирус в памяти, на диске или в фай-
ле. Это переносчики вирусов — в основном, элементы промышлен-
ного саботажа.
Шпионские загрузчики — это программы, которые использу-
ют ресурсы сервера и приносят пользу своим создателям. Серверы
могут поставлять некоторые услуги бесплатно (якобы для привле-
чения клиентов). Взамен они предлагают вам загрузчики, которые
далее выполняют роль троянов и элементов коммерческого шпио-
нажа.
Зомби — это программа, которая после своего уничтожения
продолжает потреблять ресурсы системы до тех пор, пока пользо-
ватель не удалит все ресурсы, связанные с ней. Чаще всего «зомби»
остаются незамеченными «восставшими из мертвых» и владеют оп-
ределенным количеством памяти вашей системы. Это, конечно,
неприятно, но не смертельно.
Все эти программы не наносят ущерб системе и являются ти-
пичными агентами, выполняющими низкоуровневую загрузку.
Аналогией может быть магазин, в который во время дождя наби-
лось множество людей. Они ничего не покупают, но занимают мес-
то. Чем больше таких программ в компьютере, тем меньше в вашем
распоряжении системных ресурсов.
Я хотел написать о червях, но решил не морочить вам голо-
ву. Между вирусами и червями не имеется четкой разграничи-
тельной линии. Обычно считается, что если саморазмножающая-
ся программа является самодостаточной, то это червь. А если она
вставляет свои копии в другие программы или загрузочный код,
то это вирус.
Характеристики вирусов
Вирусы можно классифицировать по нескольким следующим
характеристикам.
Какие программы они инфицируют
Арсенал старых вирусов заражал про-
граммы с расширениями «.com», «.exe» и
«.sys», а также загрузочные секторы дисков и
дискет. Соответственно, вирусы так и назы-
вались: вирусы corn-файлов, вирусы ехе-
файлов, вирусы sys-программ, вирусы boot-
сектора.
Имелась небольшая группа вирусов, которая заражала не
программы, а файлы исходного кода (например файлы с расшире-
ниями «.pas» или «.с»).
Позже появились макровирусы, написанные на языке
WordBasic. Затем первенство перехватили вирусы, написанные на
других' высокоуровневых языках. Сейчас они могут заражать элек-
тронную почту, вложения, рисунки, клипы. Мы не будем рассматри-
вать их здесь, потому что «Азбука-3» посвящена ассемблерному коду.
Да и вам не мешало бы начать с азов компьютерной вирусологии.

Как вирус скрывает себя​

Сокрытие имеет две фазы: до обнаружения и после обнаруже-
ния. В первой фазе используются такие приемы, как сокрытие раз-
мера зараженного файла, кодирование, «дезинфекция на лету»,
туннелинг*, антитуннелинг, секторное сокрытие, сокрытие 4202 и
SFT. Во второй фазе используются методы полиморфизма, кодиро-
вания, метаморфизма, антиотладки и антиэвристичности. Позже
мы рассмотрим эти методы.
Как вирус находит программы для инфекции
При выполнении зараженной программы вирусы Runtime ос-
матривают директорию (или несколько директорий), выискивают
и заражают файл, пригодный для инфекции.
За один рабочий цикл программы они заражают только не-
сколько программ. В отличие от них резидентам памяти — вирусам
TSR (Terminate and Stay Resident) — не нужно искать программы
для заражения. Они размещаются в памяти и перехватывают пре-
рывания. Как только какая-то другая программа вызовет прерыва-
ние, в ответ она получит вирус.
Как вирус крепится к зараженному файлу
Вирусы могут: 1) присоединяться к зараженному файлу, 2)
переписывать его часть своим кодом, 3) сохранять или копировать
зараженный файл в своем буфере или 4) размещать наобум.
Какой вид расплаты предполагается в вирусе
Расплатой может быть: 1) логические бомбы, которые «вры-
вается» в заданное время или при указанных обстоятельствах, 2)
сообщение на мониторе или звуки, 3) разрушительные коды или
4) различные хорошие благодеяния. Элемент расплаты зависит от
характера и натуры человека — создателя вируса.
На какую операционную систему рассчитан вирус
Соответственно, бывают DOS-вирусы, вирусы под Windows,
под Linux, под OS/2 и т. д.
На каком языке написаны вирусы
Существуют Bat-вирусы, С-вирусы, Dbase-вирусы. Их разно-
образию не видно предела.
Вирусные технологии: прошлое,
настоящее и будущее
С момента появления компьютерных вирусов на нашей пла-
нете прошли десятки лет, и появились сотни новых технологий.
Однако эффективность каждой технологии имеет плюсы и минусы.
Настоящие причины технологического развития немного иные,
чем нам кажутся. В основном они определяются задачами авиров и
носят чисто коммерческий характер.
1. Туннелинг
Туннелинг — это технология, первоначально созданная для
обхода авирных продуктов, определявших класс вирусов. Эти
продукты назывались поведенческими блокираторами. Они были
резидентами памяти, подцепленными к прерываниям Intl3h и
Int21h. To есть они отслеживали вызовы к этим прерываниям и
определяли особые последовательности действий (например, от-
крыть файл, переместиться к концу файла, произвести запись, пе-
реместиться в начало файла, произвести запись, закрыть файл).
Подобные последовательности указывали на процесс инфекции,
и их обнаружение вызывало различные процедуры очистки систе-
мы.
В нынешнее время поведенческие блокираторы переживают
стадию упадка. Во-первых, они замедляют работу программ. Во-
вторых, они часто вызывали ложные тревоги, а пользователей
нельзя волновать понапрасну. Тем не менее, они часто входят в ин-
струментальный набор антивирусных пакетов.
В любом случае, туннелинг переживает не лучшие времена.
Этот метод, во-первых, увеличивает размеры вирусов и замедляет
процесс внедрения в систему. Во-вторых, он часто не оправдывает
себя, ломая код вируса. В-третьих, этот метод вызывает проблемы
совместимости с процессорами и антивирусными программами
(причем, так называемые одношаговые «кроты» в наше время лег-
ко определяются). В-четвертых, практика туннелинга сложна и
опасна для создателей вирусов. И пока этот метод не считается по-
лезным оружием в арсенале опытных адептов Искусства.
2. Антитуннелинг
Антитуннелинг развивался в ногу с туннелингом и использо-
вался авирами для борьбы с вирусными туннелинговыми атаками.
Даже тогда он использовался редко — меньше, чем туннелинг. А за-
тем хакеры применили этот метод против авиров. Вирусы начали
использовать код антитуннелинга, чтобы защититься от обхода их
сокрытия и запретить другим вирусным туннелерам вмешиваться в
механизмы захвата прерываний.
Антитуннелинг имеет хорошие и плохие стороны. С одной
стороны, он хорош, чтобы запретить другим вирусам обход захва-
ченного вами вектора прерывания и для остановки многих попу-
лярных авировских программ. С другой стороны, этот метод по-
рождает много хлама и засоряет систему, что делает явным наличие
вируса. Поэтому метод нуждается в дальнейшей разработке.
3. Сокрытие
Сокрытие использовалось часто и разнообразно. Поначалу
оно обманывало чекеры целостности и мешало им выявлять изме-
нения в зараженных файлах (в наше время любой авировский про-
дукт включает в себя чекеры целостности). Сокрытие бывает раз-
ным. Например:
3.1. Файловое сокрытие
Простое файловое сокрытие появилось во времена правления
DOS и Norton-Commander. В ту пору вирусы были диковинкой, и
люди проверяли размеры файлов. Такая проверка позволяла им оп-
ределять наличие вирусов (в основном, в COMMAND.COM, и
именно поэтому инфекция COMMAND.COM почти никогда не
проводилась). Сокрытие размера имело свои проблемы. Некоторые
программы-архиваторы неправильно сжимали зараженные файлы,
а другие (например CHKDSK) буквально сходили с ума, объявляя
об ошибках на жестком диске. Это ставило жизнь вирусов под уг-
розу, потому что пользователь всегда и по любому поводу винит в
нестабильности системы только вирусы.
Файловое сокрытие было не очень совместимым с програм-мами. Сейчас оно редко употребляется, потому что пользователи
больше не следят за размерами файлов. Тем не менее, некоторые
авиры предлагают подобную утилиту.
Следует добавить, что старые методы по сокрытию размера
файла не работают на современных машинах (хотя никто не пони-
мает, по какой причине). Сейчас развиваются методы инфекции без
увеличения размера (заражение пространств данных, заголовков,
сжатие файла перед инфекцией и т. д.).
3.2. Секторное сокрытие
Это было первой формой сокрытия вирусов для загрузочного
сектора. Сокрытие уровня сектора маскирует наличие вируса в за-
грузочном секторе на дисках. Метод легко обнаруживается, когда
авиры считывают информацию напрямую с портов. Но доступ к
портам задействует прерывание Int76h. И если вирусмейкер доста-
точно умен, он обходит такие проверки.
В данном случае нужно помнить, что это прерывание вызыва-
ется после записи на диск и, если вы будете невнимательны, то мо-
жете войти в бесконечную петлю.
Сокрытие уровня сектора имеет проблемы на современных
машинах. Эти трудности решаются сокрытием с помощью Int76h и
правильным обращением с Intl3h. Секторное сокрытие с помощью
Intl3h плохо работает под Linux и другие 32-битные системы.
3.3. Сокрытие с дезинфекцией при чтении
Это вид полного сокрытия. Он построен на очищении зара-
женных файлов, когда те открываются пользователем, и на их вто-
ричном заражении при закрытии. Одним из первых этот метод ис-
пользовал вирус Frodo. Данный метод не работает на дискетах и вы-
зывает сообщение об ошибке, если Int24h зацеплено неверно. Не-
которые конфигурации Сети не дают разрешения на запись, поэто-
му здесь тоже могут возникать проблемы.
Эта форма сокрытия очень медленная. Кроме того, она делает
диск неустойчивым. Но здесь может помочь сокрытие дискового
пространства.
3.4. Сокрытие 4202 и SFT
Обе формы сокрытия имеют дело с сокрытием при чтении и
перенаправлении. Файлы не очищаются при доступе к ним, а мас-
кируются по файловому размеру. Если файл открывается в режиме
чтение/запись и в него что-то пишется, то он очищается и после
проведенной записи снова заражается. При сокрытии 4202, которое
применяется в большинстве вирусов, доступ к концу файла ограни-
чивается вирусом. Любая попытка выйти за пределы виртуального
файла блокируется вирусом. При сокрытии SFT изменяется длина
файла в таблице SFT. DOS ограничивает проход мимо конца зара-
женных файлов, и вирус лишь маскирует начало зараженных бай-
тов.
Сокрытие SFT вызывает проблемы в Сети и на разных опера-
ционных системах, потому что SFT является недокументирован-
ной структурой, в которой нормальные программы не нуждаются.
Кроме того, обе формы сокрытия вызывают проблемы в случае
применения дисковых чекеров. Некоторые архиваторы делают ви-
русы незаразными, если сокрытие на чтение не было предваритель-
но выключено. То есть методы хорошие, но имеют проблемы с сов-
местимостью. Их преимуществом является обход сканирования
авиров. И если ваш вирус будет иметь в дополнение хороший поли-
морфизм, то его ждет долгая и сытая жизнь на нивах многочислен-
ных систем.
4. Кодирование, полиморфизм и метаморфизм
Кодирование (основной защитный механизм вирусов) было
придумано до внедрения методик сокрытия, и причиной тому были
авиры. Если бы они не начали вытаскивать небольшие сигнатуры
из дешифраторов вируса, то такой прием,
лйЬ как полиморфизм, никогда бы не был раз-
вит.
Кодирование и полиморфизм при-
вели к тому, что современные авиры вы-
нуждены тратить много времени даже на
сканирование самых глупых и неуклю-
жих поделок начинающих вирусмейке-
ров. Точная идентификация вируса ста-
новится почти невозможной, когда коли-
чество «уникальных» записей декодиро-
вания стремительно сокращается, а им эти строки еще необходи-
мо найти. Полиморфизм стал основным оружием вирусов против
авировских сканеров сигнатур. В ответ авиры создали обобщен-
ное декодирование (эмуляцию), что поставило полиморфизм на
грань вымирания.
Хотя полиморфизм по-прежнему создает проблемы для эму-
ляционных систем. Они значительно замедляют работу и путаются
в «мусорном» коде (множестве функциональных вызовов). Многие
полиморфные дешифраторы настраивают эвристические флаги.
На смену полиморфизму приходит метаморфизм. Этот метод ото-
шел от кодирования и для каждого нового поколения полностью
переписывает код вируса, по-особому эскизу. То есть для ави.ров бу-
дет нужна фигура из 20 сканстрок, а при эволюции данного метода
сканирование вообще окажется бессильным.
Обычно вирус пошагово проходит свой ассемблерный код и
конструирует новую программу с возможностями старой версии.
Это требует знания опкодов и полиморфных технологий. Вполне
понятно, что данный метод создает в новом поколении «мусорный»
код, который мутирует раз за разом, увеличивая размер вируса. Со-
ответственно, вирусу приходится уменьшать размер, кодируя ори-
гинальную копию вируса. При других вариантах метаморфный мо-
дуль создает оригинальную копию.
Примеры метаморфизма редки, и пока существует только не-
сколько прототипов. Но мутации вирусов ведут к новой стадии
эволюции. Борьба за сокрытие от сканеров, в конечном счете, при-
ведет к развитию «разумного» вируса.
5. Антиотладка и антиэвристичность
Эти два метода активно развиваются. Первый снижает эф-
фективность авировских эмуляторов, но уязвим по эвристическим
характеристикам. Поэтому в действие вводится антиэвристич-
ность. Если империя Авира создаст мощную обобщенную систему
идентификации, то только антиэвристичность поможет вирусам
выжить. Хотя сейчас намечается развитие новых приемов, которые
могут избегать обобщенного определения.
6. Среднефайловая инфекция
Существуют две формы среднефайловой инфекции.
Первая форма предполагает, что вирус находит файл, пригод-
ный для заражения, трассирует код программы (в пошаговом режи-ме, с помощью эмуляции или трассирования кода) и вставляет
один или более базовых блоков вируса в разные части кода.
Второй метод выбирает наугад части файла и сохраняет дан-
ные этой области в теле вируса. Эти небольшие куски заполняются
полиморфным прыжковым кодом, и каждый из прыжков перено-
сит контроль с одной части в другую. Последний прыжок перехо-
дит к началу вируса, который располагается где-то в середине ис-
полнительного файла.

 

гы гы интересно

 

не очень правд понятно

 

- много информациииии)
А так норм)

 

xD Как много текста :D

 

DIM@STA ясно почему тебе не понятно.судя из ника ты слушаешь Димасту

 

Не че так до конца прочитаю:)

 

Кто это такой?

 

По ходу уроков там всё обьясняется главное запоминайте и поймите теорию и определения.Без теории никуда)Проверено на своём опыте)))

 

Спасибо,было интересно читать,когда следующий урок выложите?

 

Завтра)В это же время примерно)Или сегодня чуть позже через часа два.Я пока что всю важную инфу собираю))Если успею то сегодня в часов 10 вечера по мск будет))

 

ого,спасибо,полезно.

 

много текста)