Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

143_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

10.74 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 158 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ЖЕСТКИЙДИСК

MBR,0x200

AA55

Раздел№1

Раздел№2

Раздел№3

Раздел№4

Смещение	Длина	Описание
0	0x1BE	Код загрузчика
0x1BE	0x10	Раздел #1
0x1CE	0x10	Раздел #2
0x1DE	0x10	Раздел #3
0x1EE	0x10	Раздел #4
0x1FE	2	Сигнатура 0xAA55

Таблица 1. Структура MBR

Смещение	Длина	Описание
0	1	Признак активности
1	1	Начало раздела – головка
2	1	Начало раздела – сектор, головка
3	1	Начало раздела - дорожка
4	1	Тип раздела
5	1	Конец раздела – головка
6	1	Конец раздела – сектор, головка
7	1	Конец раздела – дорожка
8	4	Смещение первого сектора
0x0C	4	Количество секторов раздела

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Схема разбиения жесткого диска на разделы с помощью MBR

четырехразделахдискаисигнатуру0xAA55 всамомконце. Исполнениеначинаетсяснулевогосмещениясектора. СтруктуруMBR можно описатьследующимобразом(см. таблицу1). Сигнатураиспользуется загрузчикомдляпроверкикорректностиMBR, вслучаенеудачиработа компьютераприостанавливается. Каждыйразделтакжеописывается отдельнойструктурой(таблица2). Байтпризнакаактивностиможет бытьравенлибо0, либо0x80. Еслионравен0x80, торазделсчитается активным, загрузчиксчитываетегопервые0x200 байтипередаеттуда управление. Поле«типраздела» описываетформатированиеконкретногоразделаиможетприниматьмножествозначений(приведеныне всевозможныезначения) (таблица3). Такимобразом, большечетырех разделовнаодномжесткомдискесуществоватьнеможет. Однакоже Windows позволяетделитьдискхотьнадвадцатьчастей— таквчемже дело? Оказывается, чторасширенныйраздел(кодтипараздела— 7) помимособственносодержимогоразделасодержитещеиуказатель наследующийраздел. Следовательно, образуетсясвязанныйсписок израсширенныхразделов. Ихколичествоограничиваетсятолько свободнымнеразмеченнымпространством. Подытожимвсевышесказанноеспомощьюсхемы(см. картинку«Схемаразбиенияжесткого дисканаразделыспомощьюMBR»). Такимобразом, полныйалгоритм загрузкикомпьютераследующий: кодвMBR проверяетработоспособностьжесткогодиска, затемищетразделсвыставленнымпризнаком активности0x80, просматриваятаблицуразделов, ипередаетуправлениенанулевойбайтпоследнего.

Фрагмент обработчика перехваченного int 13

Таблица 2. Структура раздела

Код	Тип раздела
5	Расширенный раздел
7	NTFS
0x0B	FAT32
0x17	Скрытый раздел NTFS

Таблица 3. Значения поля.

Следуетотметить, чтопослевключениякомпьютерапроцессоррабо- таетврежимереальныхадресов(real-address mode). Онзначительно отличаетсяотзащищенногорежима(protected mode), которыйиспользуетсяприфункционированиибольшинствасовременныхоперационныхсистем(Linux, Windows, FreeBSD ит.д.). Вреальномрежиме отсутствуетстраничнаяадресация, такназываемыекольцазащиты, обработкаисключений, арегистрыGDTR, LDTR, CR3 неиспользуются. Таблицавекторовпрерыванийрасположенапонулевомуфизическому адресуизаполненасамимBIOS’ом. Обращениекпамятипроисходит черезпару«сегмент-смещение», котораяпреобразуетсявфизический адрес. Пояснюнапримере:

•Процессор пытается исполнить инструкцию mov eax, [1000:FFFF];

•Значение сегмента сдвигается влево на 4 бит — 0x1000 << 4 = 0x10000;

•Смещение складывается со сдвинутым сегментом и получается конечный физический адрес — 0x10000 + 0xFFFF = 0x1FFFF;

Вернемся к Whistler’у

Послепрочтениястольдолгойинуднойтеорииты, ядумаю, созрел продолжитьизучениенашегосегодняшнегогероя. Итак, онпереписываетMBR насвойсобственный, обращаяськустройству \\.\PhysicalDriveX черезфункциюCreateFile. Потомоннаходитсамый последнийразделипишетсвоиданныевнеразмеченнуюобласть, находящуюсязапоследнимразделом. Аименно— тудазаписываетсяоригинальныйMBR, идентификационныеданныеWhistler’а, по которымможнобудетопределитьфактзаражениясистемы, ичетыре PE’шника. Одинизних— тот, чтосейчасописывается. Другой— драйвер. Двапоследних— exe’шники, отвечающиенепосредственноза функционал. Наэтомфункциональностьфайла, исполняемогоизпамя-

XÀÊÅÐ 12 /143/ 10

069

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
w Click				to	BUY						MALWARE
				to							m
											m
w
	w									o
	.							.c
		p					g
			df			n		e
				-xcha

Фрагмент дампа памяти одного из компонентов Whistler’а

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Реализация метода RedPill в Trojan-Clicker. Win32.Whistler.a

Отладка MBR при помощи Bochs Enhanced Debugger for Windows

ти, заканчивается. ПришловремярассмотретьсамзараженныйMBR. ДляегоразбораяиспользовалбесплатнуювиртуальнуюмашинуBochs for Windows совстроеннымотладчиком. Онаиспользуетполностью программнуюэмуляцию. Ееинтереснойособенностьюявляетсявозможностьотладкивиртуальноймашиныссамогостартакомпьютера. ТоестьонапозволяетпройтиподотладчикомвесьMBR изагрузочный кодсистемыибезпроблемотладитьстартовыйкодBIOS’а. Разумеется, этоотладканекодареальнойжелезки, авсеголишьBIOS’авиртуальноймашины, нооценитькачественнуюкартинузагрузкикомпьютера помогает.

Итак, cначалапарситсятаблицаразделовинаходятсяэлементы, записанныевнеразмеченнуюобласть, тудажеипередаетсяуправление. Тут-тоиначинаетсясамоеинтересное— перехватываетсяпрерывание int 13h, оригинальныйMBR восстанавливаетсяинанегопередается управление. Вперехватчикеint 13h производитсяпоисксигнатурыиз NTLDR впрочитанномфрагменте. Сверкасигнатурывиднанаскриншоте: сначалапроизводитсяпоискбайта0xB8 спомощьюинструкции REPNE SCASB, авслучаеуспехадальнейшеесравнениепроисходит спомощьюCMP. Далее, еслинужныйфрагментNTLDR’анайден, производитсяперехватфункцииBlLoadBootDrivers путемзаменычасти инструкции. Послевыставлениясплайсингауправлениевозвращаетсявсистему.

Буткитполучитуправлениетолькопослевызовавышеупомянутой функции. Затемпроизводитсяпоискбазыядраисплайсингинструкции, вызывающейфункциюIoInitSystem. Перехватустановлен такимобразом, чтобуткитполучитуправлениекаксразупослевызова IoInitSystem, такипослееезавершения. ТакимспособомWhistler определяет, чтосистемауспешнопроинициализироваласьизагружает свойдрайвер, упомянутыйвыше. Этотдрайвермаппитсявпамять

Фрагмент драйвера Trojan-Clicker.Win32.Whistler.a

изапускаетсякаксистемныйпоток. Такимобразомназапущенной инфицированнойсистемеокажетсяработающийдрайвер, образи информациядлякоторогоотсутствуетуОС. Наэтомфункциональность инфицированногоMBR’азаканчивается, ивработувступаетдрайвер. ДрайверпостроеннаосновеStoned Bootkit FrameWork, которыйбес-

платенинаходитсяподлицензией«European Union Public License».

Основноеегоназначение— считыватьизнеразмеченнойобластихардафайлы, которыенесут«полезнуюнагрузку», искрытозапускатьих. Работасдискомведетсяприпомощиобъекта\\.\physicaldrive0, авот запускPE’шниковпроисходитвесьмалюбопытнымспособом— при помощиAPC. APC — Asynchronous Procedure Call — функция, которая нарушаетестественныйходвыполненияпотока. Когдапланировщик Windows переключаетконтекстнапоток, онсмотритнаналичиеAPCфункцийвочередипотока, иеслиониесть, товызываетсначалаих, апотомужеисампоток. Первымделомдрайверинжектитшеллкодв winlogon.exe, используяKeStackAttachProcess дляприсоединенияк

процессу. ПотомспомощьюфункцииKeInitializeApc инициализируется самаAPC-функция, котораязатемдобавляетсявочередьспомощью KeInsertQueueApc, чтообеспечиваетзапускшеллкодавконтексте системногопроцесса. Этоткодзапускаетдваоставшихсяфайла, которыебылисохраненынадискдрайверомпоследующемупути: «\\??\C:\ System Volume Information\Microsoft\».

Так как насчет функционала?

ПройдястольдлинныйпутьпоразборуWhistler’а, яподошелксамому главному— вредоносномуфункционалу, тоестьтому, радичегои делалсязловред. Каквидноизназвания, онкликаетпоразнообразнымссылкам, увеличиваяимрейтинг. Самифайлыпредставляют собойобычныеприложения, написанныевMicrosoft Visual Studio. Все данныехранятсявоверлеезапоследнейсекцией. Сдампивадресное пространствопроцесса, яполучилпростороссыпьурлов, которые указываютнастраницуbanner3.php наразныхсайтах.

Заключение

Вотивсе. Пожалуй, ещестоитотметить, чтоэтотзловреднебудет работатьнапоследнихоперационныхсистемахсемействаWindows,

вчастности, наWindows 7, таккактамнесколькоиначепостроеназагрузкасистемы. АвотнаWindows XP всепрекрасноотработает. Кстати, дляанализаэтоговирусапомимовиртуалкиBochs яещеиспользовал связкуVMWare иPETools дляполучениядампаи, конечноже, Hiew для визуальногопросмотра. ДизассемблерIDA вкомплектесHex-Rays простонезаменимпридетальноманализедрайверовинезащищенныхPE'шников. Кстати, можешьпопробоватьоткрытьсвойжесткий диск, начинаяснулевогосектора, простозапустивHiew ипередавему

вкачествепараметракоманднойстроки\\.\physicaldriveX. z

070	XÀÊÅÐ 12 /143/ 10

hang

NOW!

BUY

w Click

-xcha

hang

NOW!

BUY

w Click

-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

СЦЕНА

Мария «Mifrill» Нефедова (mifrill@real.xakep.ru)

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ОБЛАВА

Отом,какспецслужбыловятдропов,инетолько

Борьба с киберпреступностью в наши дни — уже далеко не миф, а суровая реальность. Прошли времена, когда спецслужбы не знали,

с какого конца подступиться к Сети. Эта история представляет собой яркую иллюстрацию того, что спецслужбы многому научились и порой занимаются действительно полезными вещами.

Операция Trident Breach

Воктябремесяцеизпресс-релизовФБРвесь мирузналомасштабноймеждународной операцииTrident Breach (дословно: «удар трезубцем»), входекоторойвВеликобритании, СШАиУкраинебылизадержаныболее стачеловек, участвовавшиевдеятельности крупногоZeuS-ботнета.

ОтроянцепоимениZeuS тынавернякауже слышал; мыпосвятилиэтомузловредуне однустатьюизаметку. Навсякийслучай напомню, чтоZeuS, такжеизвестныйнапро-

сторахсетикакZbot, PRG, Wsnpoem, Gorhax

иKneber — этосвоегородапоследнийписк модыипопулярнейшийтрендвкиберкриминальнойсреде. Данныйинструментарий пользуетсяначерномрынкеогромным спросом, регулярнообновляется, защищен отнелегальногоиспользованияпочище лицензионногософтаиявляетсянастоящей головойбольюдлявсехIT-безопасников планеты. Авторовэтойсофтиныбезуспешно ищутужедовольнодолгоевремя. Акогдане получаетсянайтиавторовивырвать«корень зла», приходитсяборотьсянеспричиной, а соследствиями. Особеннокогдаследствия приобретаютугрожающийразмах. Расследование, предвосхищавшеемассовые аресты, началосьоколополуторалетназад, в мае2009 года. Тогдавходеработынадделом окражесредствс46 разныхбанковских счетовагентыФБРизгородаОмаха, штатНебраска, нащупали«связующеезвено» — они обнаружилиотчетливыеследыдеятельности ZeuS-ботнета. Федеральноебюрорасследованийбыстросопоставилоимеющиесяна рукахфактыипришлоквыводу, чтомасштаб бедствиявелик. «Федералы» незамедли-

тельносвязалисьсместнойполицией, своим аналогомОтдела«К» (тоестьспарнями, которыезанимаютсяименнорасследованиемкиберпреступлений), другимиамериканскимиспецслужбами, азатемналадили контактисосвоимизарубежнымиколлегами изУкраины, ВеликобританиииНидерландов. Сразускажем, чтоголландскаяполициябыла привлеченакделуисключительноиз-затого, чтозлоумышленникииспользовалинекие компьютерныересурсыНидерландов. Вскореситуацияначалапроясняться. Схема, которуюиспользовалисетевыемошенники, оказаласьпроста, кактрикопейки. Основной мишеньюэтихчуваковявлялисьотнюдьне крупныебанкиикорпорации— ониметили

внебольшиеорганизации, муниципальные предприятия, церкви, больницы, атакже

вредкихчастныхлицвосновномнатерриторииСША. Заражениекомпьютеров жертвпроисходилопрактическидедовским методом: мошенникииспользовалицелевые вредоносныеe-mail-рассылки(письманесли «наборту» ссылкинаZeuS). Кактольконичего неподозревающиегражданеоткрывали такоеписьмоипроходилиполинку, вирьвламывалсявсистемуиделалтамсвоечерное дело— собиралномерасчетов, логины, паролиипрочиеконфиденциальныеданные, связанныесбанковскимиаккаунтами. Хозяева ботнета, заполучивэтуинформациюнаруки, сумелидобратьсядоогромногоколичества счетов. ФБРсообщает, чтотакимобразом былиосуществленыпопыткикражиоколо $220 млн., нотаккакневсеонибылиуспешными, реальнопреступники(попредварительнойоценке) сумелизаполучитьоколо$70 млн. Учти, чтоделалосьвсевесьмааккуратно: ФБРутверждает, чтопреступникистарались несниматьболеенесколькихтысячдолларов

зараз.

Размахужевпечатляет, правда? Дальше— больше. Какужебылосказановыше, корни этойпреступнойгруппировкивеливУкраину идругиестраныВосточнойЕвропы, асетьтак называемых«мулов» (отанглийскогоmoney mule — «денежныймул») — людей, которые переправляликраденыеденьгивладельцам ботнета(вкардерскойтерминологии — дропов) — каквыяснилосьпозже, насчитывала несколькосотенчеловек.

Как это работает

Большинствуграждан, арестованныхвходе операцииTrident Breach, от20 до25 лет, и

всеони, посути, являютсянизшимзвеномв структуреработыботнета.

Когда(иесли) кражасредствсочередного счетапроходитуспешно, деньгиутекаютотнюдьнепрямикомвзагребущиерукихозяев зомби-сети. Этобылобыслишкомпросто, рискованноипримитивно. Здесьвигруи вступают«мулы», ониже«дропы». Вслучае, о котороммыговоримсегодня, вэтойроливосновномвыступали... студентыизМолдавии, Украины, России, БелоруссиииКазахстана, находящиесявСШАповизеJ-1, тоестьпо программеWork&Travel. Длятех, ктонезнает: W&T позволяетмолодежикакое-товремяс пользойжитьнатерриторииСША, работая, общаясьсносителямиязыкаитакдалее. Однимсловом, учебныйикультурныйобмен. Арестованным«студентам» такаяпрограмма поездкиявноказаласьскучноватой, разони решилипредложитьсебякибермошенникам вкачестведропов.

Какэтореализовано? Опятьже, довольно просто. Вербуюттаких«красавцев» обычно поСети, например, черезсоциальныесети

0724	XÀÊÅÐ 12 /143/ 10

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

				to	BUY			Схемаэлектронноговоровства
w Click				to				Схемаэлектронноговоровства
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Кардеры покупают трояны и используют их для кражи

банковскихаккаунтов. Запускаяихнамашинахжертв,

они получают доступ к персональным данным, любым

денежным переводам и информации о банковской

Кардеры

активности.

Вирусмейкерыразраба-

тываютвредоносноеПО

Дропыполучаютпереведенныекардерамиденьгииза

ипродаютегоначерном

процентпереводятдальше.

Дропы

рынке; хорошийтрой

стоитот$3000.

Жертвамиявляютсячастныелица,

бизнесифинансовыеорганизации.

Жертвы

	КАКЭТОРАБОТАЕТ?
1. Вирусмейкерпишетэксплойт, запускаю-	КАКЭТОРАБОТАЕТ?
щийтрояннакомпьютережертвы
	Вирусмейкеры

2. Жертвазаражается

3. Доступкбанковско-

4. Кардерпо-

банковскимтрояном

муаккупередаетсяна

лучаетдоступк

Кардеры

Жертва

сервер

аккаунтужерты

Кардерский

сервер

аккаунтжертвы

6.Кардерзаходит

набанковский


	5. Кардер
	подключается
Кардеры	ккомпьютеру
	ккомпьютеру
	жертвы
	жертвы	Компьютер
		жертвы

7. Деньгипереводятсядропу		8. Дроппереводитденьги
		организатораммошенни-
Банкжертвы		чества
Банкжертвы	Дропы	Организаторымошенничества
	Дропы

Жертвыэтоифинансовые

Дропыпереводятукра-

институтыивладельцызара-

денныеденьгиорагини-

женныхкомпьютеров

затором, оставляясебе

небольшойпроцент

Деньгиделятсямежду организаторомдроп-сети икардером, совершившим перевод

Кардеры

Дропыидроповоды

Жертвы

Статистикарасследования

ВсегоделуФБР: 390 Пыталисьукрасть: $220 миллионов

Получилосьукрасть: $70 миллионов

США: 92 обвиняемыхи39 арестованных Великобритания: 20 арестованныхи8 врозыске Украина: 5 задержанныхи8 врозыске

XÀÊÅÐ 12 /143/ 10

073

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

СЦЕНА

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Как выглядит ботнет? Например, вот так

ZeuS во плоти

(внашемслучаеФБРпокаотказывается
разглашатьназваниесоциальнойсети, где	былобыпереводитьбольшеденег. Очевид-	честваипростобанковскогомошенничества
происходилавербовка). Заработуимпред-	но, входеэтойпервойвстречиJack Daniels	доотмыванияденег, подделкидокументов,
лагаютнекийпроцентотобналиченныхсумм,	ничегонезаподозрил, таккаквскорена	использованияподдельныхдокументови
обычноврамках5-20% отперевода. Далее	счетподставного«мула» поступилпервый	незаконногоиспользованияпаспортов. Тю-
возможныварианты. Либо, въехаввСША,	переводвразмере$9983. Черезнесколько	ремныесрокииштрафывсемгрозяткрайне
«мулы» самостоятельнооткрываютподде-	днейJack Daniels назначилагентуповторную	серьезные: от10 до30 лет иот$250 000 до$1
льныебанковскиесчета, накоторыеиуходят	встречу, наэтотразуженепосредственно	млн. соответственно. Впрочем, неизвестно,
ворованныеденьги. Либожефэйковыесчета	дляпередачиденег. Входеэтогодейства	удастсялиобвинениюнастоятьнасвоем, или
дропупредоставляетсамработодатель:	Юферицынибылблагополучноарестован.	получитсякаксЮферицыным.
например, «мулу» простоприсылаютпопочте	Емупредъявилиобвинениевсговоресцелью	Однако, помимосотнидропов, пойман-
пластиковуюкартусPIN-кодом. Зачастуюв	мошенничества, своювинуJack Daniels	ныхамериканцами, еще20 человекбыло
делетакжезамешаныподдельныедокументы	призналидажедалпоказанияпротивдругих	арестовановВеликобритании(также
всехмастей. Далеезадача«мула» элементар-	участниковгруппировки. Носамоеинтерес-	былопроведеновосемьобысков) иеще
на— нужносниматьналичностьипередавать	ноевтом, чтонаданныймоментАнтонуЮфе-	пятеровУкраине. ИесливСоединенном
еесвоим«хозяевам».	рицынуужевынесенприговор, ионоказался	Королевствеситуацияпочтианалогична
Запримерамиэтихсхемненужноходить	удивительномягок: 10 месяцевтюрьмыи	американской, тосукраинцамивсене-
далеко. ВходеоперацииTrident Breach	$38 314 штрафа. Деловтом, чтообвинениедо	сколькосложнее. Деловтом, что, согласно
ФБРвнедрилоодногоизсвоихагентовв	последнегонастаивалонамаксимальномна-	сообщениямФБРиукраинскогоСБУ, здесь,
мошенническуюсетьименновкачестве	казаниив20 летлишениясвободыиштрафе	похоже, поймалисамуюверхушкугруппи-
дропа. Черезроссийскуюсоциальнуюсеть	в$500 000. Можнопредположить, чтоЮфе-	ровки— организатороввсейвышеопи-
(всеобщениепроисходилонарусском) агент	рицыналибопоймалисущественнораньше,	саннойсхемы. Нет, разумеется, авторов
нашел«работодателя», скрывавшегосяпод	чембылообъявленоофициально, либожеон	злосчастногоZBot средиарестованныхне
никомJack Daniels. Jack Daniels, который	оченьрьяносотрудничалпослеареста:).	было(хотя, помнениюмногихэкспертови
впоследствииоказался26-летнимгражда-	Какужебылосказановыше, большинство	представителейспецслужб, малварьсо-
ниномРФАнтономЮферицыным, предложил	арестованныхзанималиотнюдьнеключевые	зданименновстранахВосточнойЕвропы).
следующую«работу»: требовалосьоткрытьв	постывпреступнойгруппировке. Боль-	Информацииобэтихпятерыхвообщепока
СШАнесколькобанковскихсчетов, получать	шинствоизтех, комупредъявилиобвинения	крайнемало, однакоизвестно, чтоуФБР
нанихпереводыиобналичиватьденьги. Под	илиарестовали— простыедропы. Только	естьоснованияполагать, чторуководители
пристальнымнаблюдениемФБРвсебыло	вСШАбылоарестовано39 человек, ав	ботнетаконтактировалисразработчиками
выполнено, датакхорошо, чтозамаскиро-	целомобвиненияпредъявлены92 людям!	ZeuS, которыеделалиимназаказособые
ванныйагентдажесумелличновстретитьсяс	Впресс-релизах, выпущенныхпоэтому	версииинструментария.
Юферицыным. «Работодатель» вдругрешил	поводуФедеральнымбюрорасследований,	Всевышеизложенное, конечно, далеконеко-
воочиюобсудитьсо«студентом» перспективу	подробнорассказанопрактическиокаждом	нецистории. Врозыскедосихпорнаходится
открытиябизнес-счета, накоторойможно	конкретномслучае. Кпримеру, сообщается,	неодиндесятокчеловек, вперединаверняка
	чтогражданинРФМаксимМирошниченко	неодинобыск, арест, атакжекучасудебных
	вербовалдропов, самоткрылкакминимум	разбирательств. Но, какбытонибыло, опе-
	пятьподдельныхсчетоввбанкахTD Bank,	рацияTrident Breach нагляднодоказывает,
	Chase Bank, Bank of America иWachovia, а	чтоспецслужбымиравсежемогут«найти
	такжепользовалсяподдельнымипаспор-	подход» кботнетамиумеютарестовывать
	тамииимелконтактысхакерамиилицами,	нетолько«мулов», ноилюдей, стоящихв
	которыемоглипомочьоформитьподдельные	преступнойиерархииповыше. Ипустьмыс
	документыдругимчленаморганизации. Ос-	тобойпонимаем, чтоэтасотняснебольшим
	тальныеслучаипохожи, какдвекапливоды:	человек— каплявморе, а$70 млн. — жалкие
	этоили«мулы», иливоттакие, вобщем-то,	крохиотисчезающихвнеизвестныхнаправ-
	мелкиекоординаторы. Обвиненияимбыли	ленияхмиллиардов, дляспецслужбэтовсе
Пресс-релиз от украинского СБУ	мелкиекоординаторы. Обвиненияимбыли	ленияхмиллиардов, дляспецслужбэтовсе
Пресс-релиз от украинского СБУ	предъявленысамыеразные— отсговорас	равнопочтиневиданныйразмах, даивцелом
суров — много компов и денег	цельюсовершениябанковскогомошенни-	неплохаятенденция. z

074	XÀÊÅÐ 12 /143/ 10

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

OPHCRACK3.3.0

WIRESHARK1.2.2

hang

(MB)

(MB)D

NOW!

BUY

UNIXOID

2.5

GPODDERto

WEBILDER0.6.9

w Click

Евгений Зобнин zobnin@gmail.com

(MB)

(MB)w

-xcha

FFMPEG

(MB)

EMESENE1.

(MB)

AMULE2.2.

(MB)

ZENMAP5.

(MB)

Трудности

XNOISE0.1.10

(MB)

UPDATER0.1.1

(MB)

XARAEXTREME0.7

(MB)

переноса

UPDATER0.0.9

(MB)

XCHAT2.8.6

UPDATER0.0.6

(MB)

XBMCMEDIACENTERSVN32789

UPDATER0.0.5

(MB)

Илихромаяпортабельность

(MB)

линуксовыхприложений

				hang		e
			C			e	E
	X						E		r
UPDATER0.0.4D									r
	-							d
	F								t
									i
	P					NOW!			o
(MB)	P
(MB)					BUY
				to	BUY
	w Click			to
	w Click				0.3.8o					m
TUCANMANAGERw					0.3.8o
	w
	.							.c
	p						g
(MB)			df			n		e
				-x cha

		2.03
		1.92

0.8.1

TERMINAL0.4.3 (MB)

TEAMVIEWER5 (MB)

SPOTIFY0.4.8.213 (MB)

SPOTIFY0.4.6.75 (MB)

Не так давно участники проекта Elementary Project представили на суд общественности новую технологию упаковки Linux-приложений под названием AppImage, которая позволяет запускать программы из одного файла на любом современном дистрибутиве без необходимости в их установке. Так ли хороша эта технология, как говорят о ней создатели, и нужна ли она Linux, мы постараемся выяснить на следующих страницах.

Введение	нафлешке, выкладыватьвDropbox, хранить	безрасширения(позжевыяснилось, что
НасамомделевElementary Project (врамках	нарабочемстолевместоярлыков, удалять	AppImage-приложениядолжныносить
которого, кстати, готовятсвойвариант	однимнажатиемклавиши. Онинетребуют	вполнеосмысленноеимясрасширением
Ubuntu, www.elementary-project.com)	установкиинезасоряютсистему. Хороши	.appimage, нобагнаихсайтевсеиспортил).
изобреливещь, известнуювкругахпользо-	совсехсторон, какнипосмотри. Номогут	Натравливаемнанегокомандуfile ивидим
вателейWindows подименем«переносные	лилинуксоидыполучитьвсеэто? Проведем	«ELF 32-bit LSB executable, Intel 80386 …»
приложения» (Portable Apps), сутькоторых	эксперимент.	— обычныйисполняемыйфайл. Ставимбит
сводитсякследованиютремпростымправи-	Тест	исполнения(chmod +x Opera\ 10.70), запуска-
лам: нетребоватьустановкинадиск(скачал,	Тест	ем… упс, библиотекаlibfuse.so.2 ненайдена.
запустил, работаешь), представлятьсобой	ДляпродвиженияидеиAppImage-прило-	Приложениенезапускаетсянаодномиз
одинисполняемыйфайл(анеустановочный	женийбылсоздансайтPortable Linux Apps	самыхпопулярныхдистрибутивовсовсеми
архив) инеоставлятьпослесебяследов	(www.portablelinuxapps.org), содержащий	стандартнымипакетами.
(держатьконфигиивсеостальноевнутри	болеесотнипортабельныхприложений.	ОК, делаемвид, чтоничегонепроизошло.
себя). Прощеговоря: «Однапрограмма—	Попробуемскачатьодноизнихизапуститьв	Дляверностизапускаемldd, видимнеболь-
одинфайл».	первомпопавшемсядистрибутиве(Kubuntu	шоеколичествобиблиотек-зависимостей,
Преимуществатакихпрограммвиндузят-	10.04 x64). КликаемпоссылкеOpera 10.70	средикоторыхстандартныебиблиотеки
ники(амакосовцы— такиподавно) уже	ичерезминутуполучаемнажесткийдиск	пакетаlibc — тасамаяlibfuse иlibglib-2.0.
успелиоценить. Ихможнотаскатьссобой	одноименныйфайлвесом15 Мб, причем	Спервойвсеясно— эточастьпакетаfuse,

076	XÀÊÅÐ 12 /143/ 10

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

SPOTIFY0.4.3	SKYPE2.1.0.81
(MB)	(MB)
SPIDEROAK	SIGIL0.2.4
(MB)	(MB)

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

SHOTWEL PHOTO VIEWER 0.6.1

(MB)

SHOTWEL PHOTO MANAGE 0.5.0

(MB)

Пакеты AppImage очень легко исследовать

AppImageAssistant — графическая программа для создания AppImage

используемогодлясозданияфайловыхсистемвпространстве пользователя(позжемыузнаем, зачемонанужна), ночтожетакое вторая? Этобиблиотекадляработысданнымиииххранения, часть графическоготулкитаGTK (накоторомоснованGnome), номожет использоватьсяиконсольнымсофтом, такимкакmc. Онадействительноестьпоумолчаниювбольшинстведистрибутивов, новполне можетиотсутствовать.

ВKubuntu libglib-2.0 имеется, поэтомуостаетсятолькодоустановить libfuse. Набираем«sudo apt-get install libfuse2» и… «Ужеустановле-

насамаяноваяверсияlibfuse2». Оказывается, либаужевсистеме (действительно, онаиспользуетсявдрайвереNTFS-3g, который естьвлюбомUbuntu), нопочемуеенеможетнайтинашапрограмма? Ответнаэтотвопроспрост: на64-битномядреlibfuse невозможно собратьврежимесовместимостис32-битнымсофтом, коимявляется нашапортабельнаяOpera 10.70. Вывод: пользуйтесь32-битным линуксом.

Отлично, берем32-битныйUbuntu 10.04 иставимеговвиртуалку. Скачиваемвсетотжефайл«Opera 10.70», делаемисполняемым,

XÀÊÅÐ 12 /143/ 10

запускаем. Наэтотразвсепрошлоотлично, программазапустилась почтибеззадержекипродолжаланормальнофункционировать напротяжениидвухчасов. Однакопослезакрытияприложенияна дискебылнайденкаталог«.opera», содержащийконфигурацию браузера, чтосвидетельствуетодостаточносерьезнойнедоработке технологии(какойпрокоттакогобраузера, еслиянемогуутащить еговместесосвоиминастройкамиипароляминафлешкеиличерез

Dropbox).

Короче, первыйраундAppImage стрескомпроигрывает, таккаки работаетдалеконевезде(64-битныемашинысейчасповсеместны), ивсемтребованиямпортабельностинесоответствует. Наочереди вскрытие.

Что внутри?

Попробовавпортативныеприложениявделе, постараемсяразобраться, какониработаютичемотличаютсяотобычныхдистрибутивныхпакетоввродеDeb иRPM. СамисоздателиAppImage неособо заботятсяодокументированиисвоейтехнологии, говорятолькоо том, чтоприложенияупакованывобычныйISO-образ, которыйвключаетвсебяпрограммуивсееезависимости, поэтомудальнейшие изысканияпридетсяпроводитьсамостоятельно.

УпакованнаяпоправиламAppImage программадействительно представляетсобойISO-образ. Этолегкопроверить, еслинабрать командуmount сразупослезапускаприложенияипосмотретьна последнююстрочку. Вначалообраза(аточнее, прямопередним) записананебольшаяпрограмма(назовемеезагрузчиком), которая монтируетобразквременномукаталогу(спомощьютогосамогоfuse) изапускаетсодержащийсявнутрискриптAppRun, которыйзапускает самупрограмму. ИменноблагодарязагрузчикуAppImage-прило- жениеможнозапуститьсразупослескачивания, необходимостив распаковкенет.

ВовсемостальномэтосамыйобычныйISO-образ, которыйможно смонтировать, чтобыизучитьсодержимое:

$ mkdir /tmp/appimage

$ sudo mount -o loop Opera\ 10.70 /tmp/appimage $ cd /tmp/appimage && ls

077

OPHCRACK3.3.0
		hang	e
	C		e	E
X				E			r
(MB)D							r
-					d
F						t
						i
P			NOW!				o
P
		BUY							UNIXOID
		BUY		2.5					UNIXOID
GPODDERto				2.5
w Click							o	m
(MB)w							o
w
.					.c
p				g
	df		n		e
		-xcha

XBMCMEDIACENTERSVN32789 (MB)

WIRESHARK1.2.2 (MB)

VLC1.2.0-GIT					hang		e
(MB)				C			e	E
(MB)		D	X					E		r
		-							d
		F								t
										i
	P						NOW!			o
	P
VLC1.1.1						BUY
					to	BUY
	w Click				to
(MB)	w Click									o	m
(MB)		w								o
	w
		.							.c
			p					g
				df			n		e
					-x cha

FFMPEG

(MB)

EMESENE 1.6.3

(MB)

AMULE 2.2.6 (MB)

ZENMAP
5.00
(MB)	Команда mount сразу выдает, что такое AppImage
	Команда mount сразу выдает, что такое AppImage
XNOISE	на самом деле
0.1.10
(MB)		WEBILDER
	Чтомывидимвнутри? Во-первых, корневойскриптAppRun, который
		0.6.9
	запускаетсязагрузчикомсразупослемонтированияISO-образа. Его
XARAEXTREME0.7		(MB)
(MB)	задача— подготовитьприложениекработеипередатьемууправление.
(MB)
	СОДЕРЖИМОЕAPPRUN	VIEWNIOR1.0
	HERE=$(dirname $(readlink -f "${0}"))	VIEWNIOR1.0
XCHAT2.8.6	export OPERA_DIR="${HERE}"/share/opera	(MB)
(MB)	exec "${HERE}"/lib/opera/opera "$@"

ЭтитристрокиприсваиваютпеременнойокруженияOPERA_DIR значение«/текущий_каталог/share/opera» изапускаютпрограмму изкаталога«/текущий_каталог/lib/opera». Очевидно, OPERA_DIR указываетнакаталогсресурсамиприложения, поэтомубраузериспользуетеговместостандартного«/usr/share/opera». Скореевсего,

вслучаемногихдругихприложенийскриптуAppRun пришлосьбы использоватьболеехитрыеприемы, чтобыпереопределитьдефолтовыйкаталогиобманутьприложение(например, символические ссылки), ноздесьвсепросто. Следующийстандартныйкомпонент

AppImage — этофайлopera-browser.desktop, содержащиймета-

данныеприложения, такиекакимя, путькиконке(вданномслучае

— opera-browser.png), категории, ккоторымотноситсяприложение, комментарии, типыассоциированныхсприложениемфайловит.д. (всевсоответствиисостандартамиfreedesktop). Самаиконкапрограммыдополнительнопродублированавскрытомфайле.DirIcon. Остальноесодержимоеобраза— компонентысамогоприложения.

ВданномслучаеэтофайлыLICENSE, install, opera-widget-manager

икаталогиshare иlib, представляющиесобойлокальнуюверсию каталогов/usr/share и/usr/lib. Первыйсодержитвсенеобходимые приложениюресурсы, документацию, man-страницы, второй— библиотекизависимостейисамисполняемыйфайл. УOpera зависимостеймало(разработчикикомпилируютеестатически, включая

вбинарникдажебиблиотекуXlib дляработысX Window), поэтому каталогlib почтипуст, толькопарочкабиблиотексамойпрограммыи дваплагинадляGstreamer. Вцелом, изнутривсевыглядитдовольно логичноипросто, поэтомуможнопредположить, чтоисоздавать такиеобразыбудетлегко.

AppImage своими руками

ПутемвскрытиясуществующегоAppImage-приложениямыузнали, какиекомпонентыономожетсодержать. Обязательнымиизних являютсявсеготри:

•Каталоговаяструктурасамогоприложения(бинарник, ресурсы, библиотеки-зависимости)

•СкриптзапускаприложенияAppRun

•Файл.desktop, содержащийметаданные

Естьдваспособасозданияэтихкомпонентов: самостоятельнаясборкаприложения, написаниеAppRun и.desktop-файлов(последний

			UPDATER0
			(MB)
	AppImage и RISC OS		(MB)
	AppImage и RISC OS
			UPDATER0
	В1988годукомпанияAcornComputersвыпустилаоперационнуюсис-		UPDATER0
	темуRISCOS2.00,предназначеннуюдлякомпьютеровсобственного		(MB)
	производства.Кромеидеифайловкаклогическогоцентраграфи-
	ческогоинтерфейса,операционкапредлагалаещеоднуинтересную		UPDATER0
	концепциюподназваниемAppDir:любоеприложениепредставляло		UPDATER0
	концепциюподназваниемAppDir:любоеприложениепредставляло		(MB)
	собойспециальныйкаталог,имякоторогоначиналосьсвосклицатель-		(MB)
	ногознака.Привидетакогокаталогафайловыйменеджеравтома-		UPDATER0
	тическипринималегозаисполняемыйфайл,априклике—запускал		UPDATER0
	тическипринималегозаисполняемыйфайл,априклике—запускал		(MB)
	файл!Run,расположенныйвнутри.Позжеэтуидеюсперлисоздатели		(MB)
	файл!Run,расположенныйвнутри.Позжеэтуидеюсперлисоздатели
	NEXTSTEP,ногораздоболееинтереснымдлянасявляетсятотфакт,		UPDATER0
	чтоонажебылареализованавфайловомменеджереROX-Filer(имя		UPDATER0
	котороготакирасшифровывается—RISCOSonX).		(MB)
	СоздателиROXлишьнемногоизменилипервоначальнуюидею,
	заменивимяфайла!RunнаAppRun,файла!Sprites—на.DirIcon,
	выкинулиизназваниявосклицательныйзнакидобавиливместонего		UPDATER0
	расширение.appdir.ВсеэтобезизмененийперекочеваловAppImage		(MB)
	иобзавелосьобязательным.desktop-файлом.		(MB)
	иобзавелосьобязательным.desktop-файлом.

TUCAN

обычноидетвкомплектесисходниками) илижевытягиваниевсего MANAGER

(MB)

этогоизужесуществующихизаведомоработоспособныхdeb-паке- тов. Недумаю, чтопервыйспособпридетсякому-топовкусу, поэтому сразуперейдемковторому. Темболее, чтоонсчитаетсяTRA официальнымидостаточноподробноописаннасайтеElementary Project (www. elementary-project.com/wiki/index.php?title=Creating_AppImages).

Подыскиваемподходящийпакетираспаковываемегоспомощью следующейкоманды:

$ ar xv пакет.deb

Видимтрифайла: control.tar.gz, data.tar.gz иdebian-binary. Первый ипоследнийнамнеинтересны, поэтомуихможносмелоудалять. Второйфайлсодержитвсюнеобходимуюкаталоговуюструктуруприложениякакразвнужномнамвиде. Распаковываемего:

$ tar xzf data.tar.gz

Ипереименовываемполучившийсякаталогтак, чтобыегоновоеимя заканчивалосьна.appdir:

$ mv data пакет.appdir

Копируемфайлимя_приложения.desktop изкаталогапакет.appdir/ usr/share/applications вкоренькаталогапакет.appdir. Помещаемтуда жескриптAppRun, загруженныйссайтаElementary Project:

$ cd пакет.appdir

$ wget www.elementary-project.com/downloads/AppRun $ chmod +x AppRun

ЗапускаемскриптAppRun, чтобыпроверитьприложениенаработоспособность. Еслизаработало, значит, теперьунасестьтак называемыйAppDir (Application Directory) — приложение, полностью заключенноеводинкаталог. ОсталосьтолькоупаковатьеговISOобразидобавитьвначалозагрузчик. Этоможносделатьспомощью графическогоприложенияAppImageAssistant (www.elementaryproject.com/downloads/apps/AppImageAssistant). Простозапускаем приложение, нажимаемкнопку«Forward», выбираемкаталогпакет. appdir ивновьнажимаем«Forward». Все, AppImage готов.

Однакотакпростовсевыглядиттольконабумаге(точнее, насайте Elementary Project). Насамомделепроцесснесколькосложнее. Деловтом, что.desktop-файл, представляющийсобойобязательныйкомпонентAppDir, можнонайтидалеконевкаждомпакете.

078	XÀÊÅÐ 12 /143/ 10

<<< < Предыдущая 1 2 3 4 5 6 78 / 158 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202411.38 Mб12138_Optimized.pdf
#
20.04.202414.93 Mб12139_Optimized.pdf
#
20.04.202421.22 Mб12140_Optimized.pdf
#
20.04.20248.5 Mб12141_Optimized.pdf
#
20.04.20249.23 Mб12142_Optimized.pdf
#
20.04.202410.74 Mб12143_Optimized.pdf
#
20.04.202422.86 Mб12144_Optimized.pdf
#
20.04.20249.01 Mб12145_Optimized.pdf
#
20.04.20249.8 Mб12146_Optimized.pdf
#
20.04.20247.88 Mб12147_Optimized.pdf
#
20.04.20249.61 Mб12148_Optimized.pdf