Вход на сайт



службы мониторинга серверов Яндекс.Метрика
Russian English Ukrainian
Подпишитесь на ленту и все новости сайта Вы узнаете первыми!
Самые последние статьи сайта

qr_droid_59943

Главная Интересное Антивирусная защита Скрытность размещаемого вируса
Скрытность размещаемого вируса
(7 голоса, среднее 5.00 из 5)

скрытность вирусаПри размещении вируса - его код пытаются максимально замаскировать. Если вирус на сайте размещен посредством ссылки на зараженный ресурс, то маскируют сам факт присутствия данных ссылок на странице сайта.
Данные ссылки создаются при помощи тегов <iframe> и <script> с параметром src равным url адресу зараженного сайта
Принцип маскировки сводиться к тому, чтобы не писать теги <iframe> или <script> непосредственно в коде а создавать их динамически посредством JavaScript.
Динамическое создание тегов происходит в момент загрузки страницы в браузере пользователя.
Для динамического создания используется два метода: первый использует javascript функцию document.write() а второй набор функций для динамической работы с HTML document.createElement(), document.appendChild()...
Дополнительно могут использовать визуальное шифрование передаваемых в функции данных или шифрование ключом

Если вирус размещен непосредственно на странице сайта, то маскируют его "Эксплойт"-ы по которым код можно идентифицировать как вирус.
"Эксплойт англ. exploit" - это фрагмент программного кода, использующий уязвимость в браузере пользователя.
Маскировка "Эксплойт"-ов осуществляется при помощи функции eval() которая позволяет выполнить переданный в нее скрипт
т.е. в исходном коде скрипт шифруют визуально или ключом (описание см. ниже) а при выполнении его дешифруют и передают функции eval() как параметр.

Предположим что часть вирусного кода содержит слово "script" - чтобы визуально зашифровать данное слово необходимо после каждой буквы подставить какой либо символ из набора # @ & ^  ! ) ( $

После подстановки получаем слово s( c&@^) r&^#i)(@p^&t^) ) - которое не читаемо для человека (замаскирована).
При выполнении используем функцию replace (/#|@|&|\^|\!|\)|\(|\$/ig, '') которая удалит все ненужные символы из нашего слова.
В результате выполнения 's(c&@^)r&^#i)(@p^&t^))'. replace (/#|@|&|\^|\!|\)|\(|\$/ig, '') - из строчки s(c&@^)r&^#i)(@p^&t^)) будут стерты все символы #@&^!)($ и функция вернет строчку "script".

Шифрование ключом используя функцию XOR встроенную в javascript:
предположим что вирус содержится в переменной Virus, тогда шифруем ее переменной Key и получаем Hash: Hash=Virus^Key
теперь в коде страницы нам необходимо присутствия лишь переменной Hash и key - ни та ни другая не содержит исходный вирус в результате чего ее невозможно обнаружить.
исходный вирус можно получить путем обратного действия шифрования переменной Hash ключом key Virus=Hash^Key

По материалам http://without-virus.ru

 

 

Комментарии  

 
0 #2 Ricky 14.05.2017 17:30
My brother recommended I would possibly like this web site.
He was once totally right. This post actually made my
day. You can not imagine simply how much time I had spent for
this info! Thank you!

Visit my web-site: natural gout (tangibleaborig i2.snack.ws: http://tangibleaborigi2.snack.ws/hammer-toe-triggering-ball-of-foot-pain.html)
Цитировать
 
 
0 #1 Grey-UA 19.11.2016 17:35
А кто с такой фи-ней сталкивался?
Цитировать
 

Добавить комментарий


Защитный код
Обновить

Новости от DrWeb

О вирусах от DrWeb

Copyright © 2011 "KSW-создание сайтов". При полном или частичном использовании материалов кликабельная ссылка на https://ksw.net.ua обязательна.