Dostal se mi do rukou disk napadeny OneHalfem, jenze majitel v zapalu dichtivosti stacil jeste pred tim nez mi jej donesl pouzit fdisk /mbr. cca 99% disku je jiz zakodovano, zadny se zbylych souboru neni napaden, puvodni (zavirovany MBR) je nenavratne prapsany. Ma nekdo z pritomnych zkusenosti jak dostat data z takoveho disku ven? |
Pokud s tim diskem v mezicase nikdo nemanipuloval, tak je to celkem snadne. One_Half postupne xoruje jednotlive stopy konstantou (wordem), kterou si nahodne vygeneroval pri svem prichodu do pocitace. Potrebujete: 1) zjistit odkud je disk zakodovan Kdyz se budete divat po jeho zacatku disk editorem, tak si te hranice urcite vsimnete. Je to vzdycky cela stopa - nemuze z ni byt zakodovano jen par sektoru. 2) zjistit jakou konstantou Root directory bude zrejme jeste v poradku, ale nektere soubory uz budou lezet v zakodovane oblasti. Staci se podivat na nejaky soubor se znamym obsahem (prakticky lze treba spolehat na to, ze EXE soubor ma prvni dva bajty 'MZ' t.j. 4Dh, 5Ah) a xorem wordu ktery tam je s wordem ktery by tam mel byt ziskate dekryptovaci konstantu. 3) Pak uz jenom staci postupne dekodovat vsechny stopy. (Dobry trik je napsat si kratoucky rezident, ktery dela to 'dekryprovani' at fly na urovni Int 13h). Tak si muzete (bez fyzickeho zasahu na disku) overit, jestli se Vam podarilo spravne urcit konstantu a zacatek oblasti. Petr Odehnal, Grisoft najprv som chcel tieto spravy s nechutou hodit do kosa, pretoze onehalf je uz dost omleta story, a vo virus.42 (fido) o tom bola jednoho casu snad kazda druha sprava, ale musim reagovat: predovsetkym: vsetky udaje sa daju zachranit (resp. skoro vsetky, zavysi od toho, ako presne sa da zistit stopa, ale s istou malou toleranciou to nie je problem). takze este raz - udaje nie su nenavratne prec... len treba vediet 2 cisielka a spustit prislusny program. >> Dostal se mi do rukou disk napadeny OneHalfem, jenze majitel v zapalu >> dichtivosti stacil jeste pred tim nez mi jej donesl pouzit fdisk >> Ma nekdo z pritomnych zkusenosti jak dostat data z takoveho disku >> ven? 1) diskedit - pozrie si niektore stopy ku koncu, ktore zvyknu byt prazdne, zpravidla sa z nich da bez problemov zistit xor hodnota. je to word, takze na nulach je krasne viditelny. resp. ak je to text, staci skusi najst medzery a odxorovat si ich 0x20-tkou. 2) skusit najst stopu, onehalf koduje po 2 stopach, bisekciou skusit najst stopu ktora je prva zakodovana. ak je to v textovom subore ci databaze ci adresary, da sa to zistit uplne krasne. ak je na rozhrani stopy napr. dlhy zip, je to podstatne nedeterministickejsie, ale s trochou stasia a skusenosti to nie je problem 3) napisat si dexorovani program, alebo pouzit onehalf /d (zo sac), a zadat do neho cislo ktorym to bolo xorovane (sac-acky pouziva decimalne ;) a stopu od ktorej dexorovat... 4) ist na pivo :) opat clovek zvitazil nad neznamou silou. Infi |
Zajimala by mne jedna vec - je mozne,aby se stare viry pro Dos sirily i pod Windows. Nebo sirily je spatne napsano - spis jestli dokazou provadet destrukce??? Mam na mysli,jestli si Win95/98 chrani sami dulezite oblasti na disku a pokud se nekdo pokusi menit treba Boot Sector,tak je mu to zakazano? |
> Zajimala by mne jedna vec - je mozne,aby se stare viry pro Dos sirily i pod > Windows. Nebo sirily je spatne napsano - spis jestli dokazou provadet > destrukce??? V podstate lze DOSviry pod Windowsem rozdelit na dve skupiny: - DOSviry, ktere se pod Windows siri - DOSviry, ktere se pod Windows nesiri (Windows vetsinou "zarve", ze pri provadeni souboru nastala chyba apod.). DOSovske viry se vsak dokazou pod Windows sirit pouze v DOS okne. Tj. pokud spustis z Windows treba M602 - virus bude schopen (pokud nepatri do druhe skupiny) infikovat soubory, ktere pres M602 oteviras, spoustis apod. Se zavrenim DOSovskeho okna zanika i DOSovsky virus. Destrukcni akce samozrejme muze provadet - musi jen doufat, ze Windows neohlasi nejakou chybu a aplikaci neukonci... > Mam na mysli,jestli si Win95/98 chrani sami dulezite oblasti na disku a > pokud se nekdo pokusi menit treba Boot Sector,tak je mu to zakazano? Windows si chrani boot sektory dost peclive (dokonce i nektere antivirove programy mely donedavna problem s prohlizenim MBR ci boot sektoru). Pokud treba spustis OneHalf.3544.A (v DOS okne) pod Windows 95, MBR se mu nepodari napadnout a tak zacne alespon hromadne napadat otevirane a spoustene soubory na disku... Horsi situace nastava, pokud zapomenes pri startu pocitace vysunout disketu s boot virem. V te dobe jeste zadna ochrana MBR neexistuje a tak muze pokus o infekci MBR skoncit nepristupnym diskem (chudak virus ani nevi, ze na nej ceka Windows a ne stary dobry DOS). Igi >DOSovske viry se vsak dokazou pod Windows sirit pouze v DOS okne. Tj. pokud >spustis z Windows treba M602 - virus bude schopen (pokud nepatri do >druhe skupiny) infikovat soubory, ktere pres M602 oteviras, spoustis apod. >Se zavrenim DOSovskeho okna zanika i DOSovsky virus. vynechal si jeden dolezity poznatok, a to o klonovani V86 pod windowsami. ak sa totiz virus spusti *pred* spustenim windows, napr. v command-come, pretoze windows je v podstate este stale nadstavba DOSu v mohych ohladoch, najprv sa loaduje dos, a potom nan windows. ak je virus na niecom co sa spusta z autoexecu, alebo na command-come (co sice uz nieje COM ale EXE, ale to nevadi), alebo korektne na win.com, windows ktore pri spusteni berie snapshot DOSu, ktory potom klonuje pre jednotlive V86 mapovanim stranok. vysledok je ten, ze takyto virus potom existuje vo vsetkych "virtualnych" oknach (aj ked nemusi byt vididelny - podla toho ci spadal do pamatovej oblasti ktoru windows klonovali alebo nie). naviac windows, ked zistia "nekompatibilny driver", ktory nevedia identifikovat, stupia do kompatibility filesystem modu (cele sa spomalia), a pouzivaju kvoli kompatibilite DOS na pristup na filesystem (namiesto ich vfat.vxd). potom je virus aktivny aj pre vsetky windowsovske aplikacie. (hoci toto je vidno v mycomputer->properties->performace->filesystem) kedze prevadzanie interruptov v virtualnych konzolach je trochu odlisne, prave kvoli concurrent pristupom sa vsetky forwarduju do povodnej kopie a teda aj k pre-windowsovskemu virusu. >Destrukcni akce samozrejme muze provadet - musi jen doufat, ze Windows >neohlasi nejakou chybu a aplikaci neukonci... . pokial robi veci na urovni filesystemu (regulerne operacie so subormi ako prepisovanie ci mazanie), tak nie je problem. a na to aby mohol pristupovat na sektory, staci zavolat jedno volanie v DOSe (volume lock), a moze robit aj to. robi to ale iba zopar virusov, stare toto volanie nepoznaju - lebo prislo az s win95. >> Mam na mysli,jestli si Win95/98 chrani sami dulezite oblasti na disku a >> pokud se nekdo pokusi menit treba Boot Sector,tak je mu to zakazano? >Windows si chrani boot sektory dost peclive (dokonce i nektere antivirove >programy mely donedavna problem s prohlizenim MBR ci boot sektoru). Pokud ano, ale staci na to zavolat jednu funkciu DOSu, a uz nic nechrani. >s boot virem. V te dobe jeste zadna ochrana MBR neexistuje a tak muze pokus >o infekci MBR skoncit nepristupnym diskem (chudak virus ani nevi, ze na nej >ceka Windows a ne stary dobry DOS). vacsina dnesnych biosov ma (mala) default zapnutu ochanu aby neslo zapisovat do bootu. uz to ale vyrobcovia default vypinaju, lebo vtedy sa neda ani nainstalovat win95 :) Infi |