|
Poslao: 08 Jan 2009 18:19
|
offline
- Pridružio: 10 Dec 2008
- Poruke: 184
|
Ćao svima, skroz sam nov na ovom forumu pa ako je bilo reči o ovome žalim, samo mi dajte link. Nisu znali o ovome ništa da mi napišu na forumu elitesecurity.com pa sam morao vama da se obratim.
Kada sam skenirao neke fajlove AVG mi je napisao "fsg zapakovan za izvršavanje", pojavilo se kad sam instalirao novu verziju 8.0.227. Kada se završilo skeniranje pored tih fajlova je bila ona plava ikonica kao da su izlečeni, ali svaki put kad skeniram opet se pojave, a nije mogao da ih obriše, pa sam ih obrisao ručno i nema ih (verovatno) više nigde.
Na srpskom mi je, čisto da znate da nije ovo moj prevod ako treba drugačije da piše.
Šta je uopšte fsg?!
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 08 Jan 2009 18:35
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Citat:Perfect compressor for small exes, eg. 4k intros, asm appz etc.
Ukratko, alat koji smanjuje veličinu exe file-a.
|
|
|
|
|
|
|
Poslao: 08 Jan 2009 18:36
|
offline
- Pridružio: 10 Dec 2008
- Poruke: 184
|
Hvala, ali kakve to ima veze sa anti-virusom da mi on to prijavljuje?
|
|
|
|
|
|
|
Poslao: 08 Jan 2009 18:37
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Da budem precizniji - file-ovi koje ti je AV detektovao su bili kompresovani tim programom.
A šta su tačno bili ti file-ovi, to se ne može reći na osnovu toga što si napisao.
|
|
|
|
|
|
|
Poslao: 19 Feb 2009 02:33
|
offline
- Goran_B
- Novi MyCity građanin
- Pridružio: 19 Feb 2009
- Poruke: 3
- Gde živiš: Bor
|
Stefan 93 ::Hvala, ali kakve to ima veze sa anti-virusom da mi on to prijavljuje?
Koliko sam upoznat, SFG, upx, mew, ASPack i mnogi drugi se koriste za kriptovanje .exe-ova,
.dll-ova radi zastite od neovlascenog modifikovanja. Programi kriptovani na ovaj nacin ne
mogu se debugovati i videti sta se zapravo u njima radi, niti ih moze antivirus debugovati
i pronaci maliciozni kod (ako postoji). Zato su takvi programi, radi neke preventive,
svrstani medju viruse. To sto ti antivirus detektuje takve programe kao viruse, ne znaci da
to zaista i jesu. Sa druge strane, postoje virusi koje ni jedan AV ne moze detektovati kao
virus i sta sa njima!?
Evo primer koda iz jednog debugovanog programcica koji je kriptovan pomocu mew11:
00426431: E91E9DFDFF JMP 00400154
00426436: 0CE0 OR AL, E0
00426438: 0100 ADD [EAX], EAX
0042643A: 0000 ADD [EAX], AL
0042643C: 0000 ADD [EAX], AL
0042643E: 0000 ADD [EAX], AL
00426440: 0000 ADD [EAX], AL
00426442: 08640200 OR [EDX+EAX], AH
00426446: 0CE0 OR AL, E0
00426448: 0100 ADD [EAX], EAX
Njegov kod pre kriptovanja, ne vredi postaviti ovde jer je ogroman i broji par stotina
redova. Dakle, sve je ostalo nedostupno radoznalcima... nakon kriptovanja! Mada za svaki
kriptovani fajl postoji i nacin da se dekriptuje (ako se provali algoritam koji koristi za
kriptovanje) pa se mogu izraditi i dekripteri po algoritmu koji kriptuje ali da ne udjemo u
detalje nego da ponovim ono sto sam vec napisao: To sto ti antivirus detektuje takve
programe kao viruse, ne znaci da to zaista i jesu i da je sfg alat za kriptovanje .exe
fajlova koji mnogi koriste da bi "zastitili" svoje programe od neovlascenog modifikovanja
ili krek-ovanja (nazovi to kako hoces) a AV ih, za svaki slucaj, svrstava medju viruse ili
kao potencijalnu pretnju da je to, mozda, virus; verovatno zbog toga sto ne moze detaljno
pregledati njihov sadrzaj.
|
|
|
|
|
|
|
Poslao: 19 Feb 2009 06:49
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
@Goran B
Gresis oko nekih stvari.
UPX, FSG i ASPack su iskljucivo EXE-kompresori, i cilj im je samo da naprave manji EXE ili DLL.
Kriptovanje je nesto drugo, a anti-debugging pak nesto trece.
Imas programe koji vrse sve te funkcije, ali ne FSG.
Sto se tice pitanja zbog kojeg je pokrenuta ova tema - statistika pokazuje da je FSG uglavnom koriscen za pakovanje malwarea, tako da puno AV programa alarmiraju cim vide FSG.
|
|
|
|
|
|
|
Poslao: 20 Feb 2009 15:03
|
offline
- Goran_B
- Novi MyCity građanin
- Pridružio: 19 Feb 2009
- Poruke: 3
- Gde živiš: Bor
|
U pravu si; cilj tih exe Kompresora jeste i smanjenje same velicine ali se do tog cilja stize enkripcijom samog fajla tako da je efekat, a ujedno i cilj, exe kompresije dvojak: smanjuje se velicina fajla i sprecava se citanje njegovog koda. Time je kompresijom i resen problem antidebuginga... bar za neko vreme. Nisam ni rekao da su te dve grane iste.
SFG kompresuje tako sto kriptuje odredjeni fajl: smanjujuci njegovu velicinu i sprecavajuci njegovo debugovanje. Ako polazimo od cinjenice da se mnogi takmice ko ce bolji i efikasniji virus da pravi, ne bi nas trebalo iznenaditi sto se i autorska prava virusa stite na taj nacin.
Koristio sam izraz "enkripcija" da bi se imalo u vidu sta zapravo program radi kada kazemo da se pakuje ili kompresuje i ne bi trebalo ovo pogresno shvatiti.
|
|
|
|
|
|
|
Poslao: 20 Feb 2009 15:21
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Ukoliko si mislio da je disassembilng otezan, tj. nemoguc, to je onda vec nesto drugo.
Debugging je apsolutno moguc, i nije otezan time sto je EXE kompresovan.
|
|
|
|
|
|
|
Poslao: 20 Feb 2009 20:09
|
offline
- Goran_B
- Novi MyCity građanin
- Pridružio: 19 Feb 2009
- Poruke: 3
- Gde živiš: Bor
|
Pokusacu da se nadjemo oko nekih izraza sa ciljem da ovo bude razumljivo!
Disassembilng je radnja koja se mora odvijati pre samog debugging-a i ona vrsi prevod odredjenog exe fajla sa binarnog jezika na masinski ASM. Disassembling se moze izvrsiti nad bilo kojim exe fajlovima ali se nad tim kompresovanim ne moze potpuno (u primeru sa SFG-om) i ta radnja moze biti otezana samim tim sto je nepotpuna (ako je fajl kompresovan).
Debugging predstavlja radnju koja ide nakon disassembling-a i ona koriguje greske u programima (ako je bug greska, debug je ispravljanje gresaka) i ta radnja moze biti otezana ako je fajl kompresovan jer ne mozemo nista menjati niti nesto posebno videti u fajlu dok se ne raspakuje. Sve sto cemo dobiti od kriptovanog fajla jeste samo par linija koda kao u onom gore sto sam postavio.
Neki debuggeri imaju toliko dobar disassembler da se moze videti kako se kod ponasa prilikom njegovog izvrsavanja-moze se znati kad i zasto se izvrsavaju neki skokovi, koje parametre uzimaju CALL-ovi i koji su trenutni podaci smesteni u registar zato se i radi na raznim nacinima zastite.
Dakle razlog, zasto se koristi sfg i ostali kripteri, je prvenstveno zbog neke zastite zatim zbog kompresije.
|
|
|
|
|
|
|
Poslao: 20 Feb 2009 21:03
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Gorane, hajmo prvo da razjasnimo neke stvari izmedju nas dvojice.
Ja zelim da te uputim na nesto, da te nesto naucim. Nije mi namera da dokazujem svoje znanje.
Ako zelis da naucis nesto od mene (onoliko koliko ja umem da ti objasnim), onda dobrodosao u diskusiju.
Disassembling je staticka analiza, dok je debugging dinamicka analiza (radi se u toku rada programa).
Debugging je omogucen posebnim API-jem operativnog sistema, i debugger se bukvalno zakaci za program koji je pokrenut i prati njegov rad.
Da razjasnimo sada nesto oko pakovanih EXE fajlova.
Na samom pocetku fajla je deo koji pripada packeru/de-packeru, pa onda ide kompresovan deo u kojem se nalazi image originalnog EXE fajla.
Napisao sam "image", posto je nejverovatnije uklonjen najveci deo headera PE fajla, a vazni podaci iz headera su zapisani kao resurs i dostupni su wrapperu (funkciji de-packera).
Po pokretanju pakovanog EXE fajla, wrapper (packer/de-packer) ce resurs (kompresovani originalni EXE) ucitati i raspakovati u memoriji.
U debuggeru ces u pocetku moci da vidis wrapper i resource deo, a po ucitavanju resourcea u memoriju i njegovom raspakovanju, mozes da nadjes EP originalnog fajla (sada vec raspakovanog) i da u memoriji setas po raspakovanom originalnom EXE fajlu.
Do ovog momenta nema nigde nikakve zastite.
Zastita od RE se radi na druge nacine.
Recimo, wrapper ima funkcije za detekciju toga da li je zakacen debugger, pa ni ne uradi dekompresiju originalnog EXE fajla u memoriju, vec samo prekine rad.
Takodje, dosta tih wrappera imaju zastitu od virtualnih masina (tipa VMWare).
Znaci, zastite se ugradjuju posebno, i takvi wrapperi se obicno nazivaju protektorima.
Mislim da FSG nema ama bas nikakvu protekciju, vec je samo kompresor.
Neke napredne protekcije cak instaliraju i drajvere da bi mogle da zastite program od RE, tj. da detektuju napredne nacine sakrivanja debuggera.
Ono sto sam hteo je da ti predocim da imas pogresno poimanje pojmova disassembler i debugger.
Ti u debuggeru vidis ASM instrukcije, i to jeste disasemblovan masinski kod, ali je princip i poenta razlicita - debugger prati pokrenuti program, dok se pod disassemblerom podrazumeva program koji vrsi analizu fajlova na samom disku.
Za kolokvijum na fakultetu sam radio na modularnom disassembleru (ja sam uradio GUI u GTK za *nix sisteme), tako da mi ova tema nije nepoznata.
|
|
|
|
|
|
