![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ewoke* virtual file system, понарошечная ФС
При имитации выполнения исполнимого объекта, мы должны где-то держать создаваемые/изменяемые этим объектом файлы.
Первое что приходит на ум, это в памяти массивы организовать.
Плюсы - скорость
Минусы - отсутствие собственно объектов, которые потом можно оставить исследователю или передать по цепочке автоматике, которая будет заниматься этими объектами (пример - vbs скрипт создал exe, vbs обрабатывается одним модулем, ехе - другим).
Второе - создавать файлы, примерно как это делает AdwCleaner или ComboFix.
Плюсы - см. минусы первого.
Минусы - см. плюсы первого. Если у нас идет разбор одного объекта (т.е. запускаем наш сканер зловредов всего на 1 незнакомый файл), это сойдет с рук, но если идет пакетная обработка например целой директории, дело может стать печальным. Особенно дико представить себе терзание таким образом флешки (а предполагается как запуск TotEm как наживую, так и с флешки из-подУКВ ERD Commander)
Dыбираю второй способ, потому что он проще.
Теперь остается решить, как и чего именовать.
[имена]
Расширение будет прибавлено к имени.
Если был файл 12345.exe, станет 12345_exe
[отражение действий]
Если файл был
- создан, расширение будет .new
- удален, .del
- изменен, что нибудь придумаю, пусть будет .mod
[пути слишком длинные??]
Еще один минус - если папкам "клеить" имена исходных, может получиться слишком длинное имя (мутный пример C:\Documents and Settings\Александр\Рабочий стол\стол 25\__sito -> C__Documents and Settings_Александр_Рабочий стол_стол 25___sito)
--
Примеры работы с VFS
скармливаем Тотему батник, делающий del c:\windows\*.*
/сначала вмешивается HER (host enabled runtime, host enVIRoment resolver, да как угодно, по приколу же названо), и проверяет, а есть ли такая папка? доморощенный зловредописатель не догадался написать %systemdir%, и полагает что у нас неприменно на С: винда и обязательно с папке Windows? нет такой папки, значит можно эти команду на удаление и не выполнять. это очень частный пример, но еще раз - какой смысл если у нас 32-бит винда, угрожать ей 64-бит ЕХЕшками? верно, на HER такую угрозу./
Тотем смотрит, так, у нас бат-файл, вызывает AkroBAT'a, и тот уже начинает символическое исполнение.
создается папка VFS, в ней c__windows (c:\windows с замененными символами)
в ней начинаютс создаваться файлы нулевой длины, соответствующие реальным, с расширением .del
например notepad_exe.del
(я очень условно этот процесс пока себе представляю; можно, как увидишь del *.*, реагировать надлежащим образом - сразу прерывать имитацию и начинать бить тревогу)
И оопс, "maxfiles hit", переменная Maxfiles=5 (10) превышена, прекращаем имитацию.
То же относится к батнику, засоряющему рабочий стол одним миллионом ярлыков.
При имитации выполнения исполнимого объекта, мы должны где-то держать создаваемые/изменяемые этим объектом файлы.
Первое что приходит на ум, это в памяти массивы организовать.
Плюсы - скорость
Минусы - отсутствие собственно объектов, которые потом можно оставить исследователю или передать по цепочке автоматике, которая будет заниматься этими объектами (пример - vbs скрипт создал exe, vbs обрабатывается одним модулем, ехе - другим).
Второе - создавать файлы, примерно как это делает AdwCleaner или ComboFix.
Плюсы - см. минусы первого.
Минусы - см. плюсы первого. Если у нас идет разбор одного объекта (т.е. запускаем наш сканер зловредов всего на 1 незнакомый файл), это сойдет с рук, но если идет пакетная обработка например целой директории, дело может стать печальным. Особенно дико представить себе терзание таким образом флешки (а предполагается как запуск TotEm как наживую, так и с флешки из-под
Dыбираю второй способ, потому что он проще.
Теперь остается решить, как и чего именовать.
[имена]
Расширение будет прибавлено к имени.
Если был файл 12345.exe, станет 12345_exe
[отражение действий]
Если файл был
- создан, расширение будет .new
- удален, .del
- изменен, что нибудь придумаю, пусть будет .mod
[пути слишком длинные??]
Еще один минус - если папкам "клеить" имена исходных, может получиться слишком длинное имя (мутный пример C:\Documents and Settings\Александр\Рабочий стол\стол 25\__sito -> C__Documents and Settings_Александр_Рабочий стол_стол 25___sito)
--
Примеры работы с VFS
скармливаем Тотему батник, делающий del c:\windows\*.*
/сначала вмешивается HER (host enabled runtime, host enVIRoment resolver, да как угодно, по приколу же названо), и проверяет, а есть ли такая папка? доморощенный зловредописатель не догадался написать %systemdir%, и полагает что у нас неприменно на С: винда и обязательно с папке Windows? нет такой папки, значит можно эти команду на удаление и не выполнять. это очень частный пример, но еще раз - какой смысл если у нас 32-бит винда, угрожать ей 64-бит ЕХЕшками? верно, на HER такую угрозу./
Тотем смотрит, так, у нас бат-файл, вызывает AkroBAT'a, и тот уже начинает символическое исполнение.
создается папка VFS, в ней c__windows (c:\windows с замененными символами)
в ней начинаютс создаваться файлы нулевой длины, соответствующие реальным, с расширением .del
например notepad_exe.del
(я очень условно этот процесс пока себе представляю; можно, как увидишь del *.*, реагировать надлежащим образом - сразу прерывать имитацию и начинать бить тревогу)
И оопс, "maxfiles hit", переменная Maxfiles=5 (10) превышена, прекращаем имитацию.
То же относится к батнику, засоряющему рабочий стол одним миллионом ярлыков.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2017-01-23 09:33 am (UTC)