Написав 2 місяця назад статтю в журнал Хакер. За останні 2 роки моїх статей було опубліковано близько 10, але лише десь 5-ть добре вийшли, і ця стаття відноситься до тих 5ти.
JS-морфер vs Тьма сигнатурная
Создаем гениально простой морфер на Python'е
Антивирусное зло растет изо дня в день, большинство из них уже породило веб-модуль, который постоянно мешает свету правды проникать в браузеры пользователей. И как говорил классик:
Веб-модулю объявим мы войну! Что б навсегда нам уничтожить тьму!
О созданиях темной силы
Веб-модуль Антивирусов Тьмы сейчас зачастую работает на двух уровнях - на сетевом и на уровне браузера. Первый уровень это когда антивирус пропускает весь трафик на 80-ом порту через свои сигнатуры. Обход этого возможен через простое шифрование JavaScript'а тем же XORом. Второй уровень работает через встраивание тулбаров во все браузеры. Это дает возможность тьме посылать на сигнатурный чек JavaScript после окончания его расшифровки в браузере и делает криптование бесполезным. Наиболее опасный тулбар антивирей в Internet Explorer'е, ведь он дает полный контроль над страницей. Еще ко второму уровню относится эмуляция запуска скрипта внутри антивируса. Но на данный момент эта эмуляция настолько примитивная и бажная, что не хочется ребенка обижать. Да и эмуляция вообще тупиковая ветвь эволюции по многих причинах.
Для обхода обоих уровней нужно всего лишь каждый раз генерить достаточно уникальный JavaScript (ага, Капитан Очевидность). Это наш написанный морфер и будет делать :)
Далі...