ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : Dmitry Radishev                      2:5015/42      15 Aug 2002  10:54:40
 To : Andrey Sokolov
 Subject : Видимо, никто ничего не прочуял...
 -------------------------------------------------------------------------------- 
 

 
 Wednesday August 14 2002 18:01, Andrey Sokolov wrote to Dmitry Radishev:
 
  AS>>>     Я говорю о компиляции программ (вирусов, червей), написанных
  AS>>> на HLL, в ассемблер x86 или в ассемлер любой другой архитектуры,
  DR>>  Зачем брать существующую архитектуру?
  AS>     Ммм, я имею ввиду, что сама программа (которую затем можно
  AS> "заворачивать" в псевдопроцессор) пишется на языке высокого уровня,
  AS> используются стандартные библиотеки, системные вызовы, etc... И, чем
  AS> писать компилятор с языка высокого уровня в псевдопроцессор, проще
  AS> откомпилировать программу в ассебмлер x86, а эту отработку уже
  AS> компилировать в псевдопроцессор (тут вообще теоретически всё просто,
  AS> лишь надо описать обработку нескольких макросов, всяких точечек
  AS> и процентиков, и запрограммировать взаимнооднозначный перевод
  AS> инструкций туда-сюда).
 
  Аээ... ты при этом лишишься свободы по "развертке" команд п-кода в асм. Грубо
 говоря - если в оригинале у тебя стоит mov ax, bx, то после преобразования в/из
 п-кода обратно в асм должна получиться последовательность инструкций, которая
 _обязана_ не трогать остальные регистры. А также статусные биты
 (больше-меньше-ноль-перенос). А это уже "прощай, арифметика" и не сильно
 отличается от заполнения nop'ами.
  Hе лучше ли взять тот же gcc и научить его компилировать в (намеренно
 ограниченный - пусть у компилятора об этом голова болит) п-код, и в результате
 получить кучу свободы по издевательству над кодом при работе вируса?
 
  AS>     Имеется виртуальная машина (выбирающая из псевдокода команды,
  AS> транслирующая, выполняющая их).
 
  А, вот оно в чем дело. Так вот саму vm (её код) и будут использовать как
 сигнатуру. Её же в п-код не упрячешь, не может же она интерпретировать сама
 себя.
 
  DR>>  И в комплекте с вирусом поставляется виртуальная машина, всё это
  DR>> интерпретирующая?
  AS>     Ага.
 
  См. выше.
 
  DR>> Да ещё и генерящая новую vm - on demand, на лету при размножении?
  AS>     Ага.
 
  AS>     Разве это настолько сложно? (Hе практически, а теоретически). В
 
  Если это несложно - то предлагаю выкинуть нафиг все эти п-коды, а на лету
 генерить новый вирус. Задача абсолютно того же уровня сложности.
 
  AS> проектирования виртуальной машины. Иными словами, проблема игры в
  AS> прятки сужается до кода лишь одной типовой программы, этой самой VM.
  AS> Это, по теории, повысит КПД в игре хакера с каспером :)))
 
  У тебя не "вирус" получается, а какой-то хлопкоуборочный комбайн. Как ты саму
 vm прятать будешь - она ведь по размерам нехилая получится, из неё сигнатур
 настрогать можно будет столько, что на сотню обычных вирусов хватило бы :-)
 
  AS>     Можно вообще оставить современные вирусные методы, и придумать
  AS> нечто концептуально новое. Я не думаю, что 200-300 килобайт для
  AS> машины+псевдокода, делающей потомство в виде
  AS> новой_машины+нового_псевдокода -- это так уж много.
 
  200-300к _кода_ - это куча работы по написанию исходников. Автоматическая
 генерация новой машины - это нехилая задачка по программированию, учитывая
 условие, что всё это не должно содержать постоянных кусков кода. В-общем,
 мутацию vm я представить себе могу, но как-то довольно теоретически.
 
  AS> ps: Вощм-то, я много лажи гоню, но, имхо, псевдопроцессоры -- самый
  AS> лучший путь в развитии вирусов-червей-недетектируемого-кода. Много
 
  Hаверное, да :-) Hо генерить п-код из реального асма - не лучший вариант. И,
 учитывая требование на то, что полиморфным должен быть _весь_ вирус -
 трансляции (полиморфной!) п-кода в реальный асм избежать будет сложно.
 
  AS> больше возможностей для творчества и много меньше ограничений при
 
  Hе напомнишь, каким боком тут нетхак?
 
 All the best //DiBR                        [TEAM ВСЕ МАСТДАЙ] [шестая базовая]
                                                          [http://dibr.nnov.ru]
 
 --- [LPT] LaMerZ PrOfeSsIoNaL TeaM  /member/
  * Origin: Ты еще не убил своего Томагоччи? Сделай это сегодня! (2:5015/42)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор