NOD32 (все версии) 1 часть
- Автор темы 147
- Дата начала
- Статус
MerlinFromShado
Местный
у меня в сети на отдельной машине поднят апач с предоставленным для чтения каталогом
каталог расшарен в сеть для машины, которая обновляется из инета
на этой машинке с NOD два раза в сутки (можно чаще - сделано через стандартный планировщик задач) запускается скрипт (bat-файл):
del /Q \\server\share\*.*
n32upgen.exe \\server\share\
n32upgen.exe искать тут:
Для просмотра ссылки Войдиили Зарегистрируйся
да! забыл самое главное!
на клиентах для обновления указывается адрес+каталог машины с поднятым апачем
пример кусочка из апачевского конфига (для возможности просмотра каталога с обновой):
<Directory /www/home/site/www/nod_upd/>
Options Indexes Includes
AllowOverride All
</Directory>
каталог расшарен в сеть для машины, которая обновляется из инета
на этой машинке с NOD два раза в сутки (можно чаще - сделано через стандартный планировщик задач) запускается скрипт (bat-файл):
del /Q \\server\share\*.*
n32upgen.exe \\server\share\
n32upgen.exe искать тут:
Для просмотра ссылки Войди
да! забыл самое главное!
на клиентах для обновления указывается адрес+каталог машины с поднятым апачем
пример кусочка из апачевского конфига (для возможности просмотра каталога с обновой):
<Directory /www/home/site/www/nod_upd/>
Options Indexes Includes
AllowOverride All
</Directory>
Последнее редактирование модератором:
И
Игорь Гинч
А не проще ли поставить админ версию и не заморачиваться
с n32upgen.exe ?
с n32upgen.exe ?
lockheed_man
Турист
Для Reznik
Просто указываешь сетевой путь к папке с обновлениями. А в настройках доступа к серверу в локальной сети ставишь текущего пользователя. Вот и все. У нас в офисе все работает без проблем.
Просто указываешь сетевой путь к папке с обновлениями. А в настройках доступа к серверу в локальной сети ставишь текущего пользователя. Вот и все. У нас в офисе все работает без проблем.
Reanimator72
Местный
Вновь заработал старый друг - Для просмотра ссылки Войди или Зарегистрируйся только обратите внимание раньше не было www
Свежие ключи
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войди
Последнее редактирование модератором:
И
Игорь Гинч
Аналогично с некоторыми другими бесплатными серверами
добавляешь www - снова работают
кстати работают если IP-шник вбить не в десятичной системе
исчисления а в восьмиричной или шестнадцатиричной
Последнее редактирование модератором:
И
Игорь Гинч
Посчитал нужным написать отдельным постом
статьтья с другого форума - но думаю полезна будет всем
особая просьба авторам зеркал, которые попали в блэклист,
заново обновлять зеркала - они еще поработают
Далее цитирую:
!!Антивирус Nod 32: Как реанимировать халявные зеркала!!
Насчет зеркал, находящихся в блэклисте. Их создатели, не спешите забрасывать свои творения! Если зеркало попало в блэклист, оно еще не потеряно. Все изложенное ниже справедливо не для тех зеркал, которые NODView показывает, как хорошие и валидные, а только для тех, которые принимает сам NOD32, на которых находятся последние валидные базы, которые не заброшены, но сами адреса их находятся в блэклисте.
Дело в том, что блэклист NODа представляет собой зашифрованную последовательность адресов, а его фильтр - простой контекстный поиск. Если изменить адрес зеркала так, чтобы оно было обозначено по-другому, но тем не менее распознавалось NICом, NOD его пропустит.
Существуют некоторым образом классические приемы маскирования Интернет-адресов. Остается перебрать их и выяснить, какие поддерживает NOD. Я протестировал те приемы, что работали в старых браузерах. Сразу хочу огорчить: записи адреса хексами (типа %6B%61%64%72%2E%6B%75%72%61%67%69%6E%6F%2E%72%75%2F%62%6C%69%6B) NOD не понимает, служебные символы Си, вроде \n\t\x08 фильтруются. Кстати, для списка серверов обновлений NOD применяет определенные правила. Так, он идентифицирует адрес по начальным символам http:// Если их нет, он не считает строку адресом и вставить ее в список обновления не даст. Также он проверяет, есть ли в конце символ / а если нет, подставляет его. Это мелочи, но возможно, они кого-то на что-нибудь натолкнут.
Теперь перейдем к результатам исследования. Извращаться будем над зеркалом Для просмотра ссылки Войдиили Зарегистрируйся (оно находится в блэклисте, желающие могут проверить). Это единственное зеркало, что я нашел, которое, несмотря на принадлежность к черному списку, продолжает исправно обновляться.
Из тех способов, что были испробованы, NOD понимает, корректно интерпретирует и пропускает следующие:
1. Собачка
Этот способ основан на добавлении в URL символа @. В протоколе HTTP она используется для передачи на сервер логина и пароля для доступа к запароленным местам сайта. Запрос формируется так: Для просмотра ссылки Войдиили Зарегистрируйся. Добавление же @ к обычному адресу заставляет просто игнорировать все, предшествующее ей. То есть запрос будет выглядеть следующим образом:
Для просмотра ссылки Войдиили Зарегистрируйся
До собачки можно писать все, что вздумается.
У многих (практически у всех) зеркал забанены не только имена, но и айпи-адреса. Ничего, собственно, не мешает применить собачку к ип (предварительно определив его? например, банальным ping узел):
Для просмотра ссылки Войдиили Зарегистрируйся
Все это уже спокойно проходит проверку.
2. Скрытие IP-адреса.
2.1. Перевод систем счисления
По большому счету айпи – простая совокупность чисел. Так как для компьютера существует несколько систем счисления, неважно, в какой будет записан ип. Переведем группы ип в шестнадцатеричную и восьмеричную системы (первой в адресе предшествует 0х, второй - 0):
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
2.2. Деструктурирование
Теперь усвойте тот факт, что переведенный ип может быть записан и без группировки с одинаковой эффективностью:
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Ошибки также не произойдет, если перевести эти числа в десятичную систему счисления:
Для просмотра ссылки Войдиили Зарегистрируйся
И напоследок самое интересное. К шестнадцатеричному варианту в начале можно добавить произвольное количество произвольных цифр, например
Для просмотра ссылки Войдиили Зарегистрируйся
Первые 0123456789 добавлены от балды, максимально проверенная последовательность – 10 символов, а возможно, и больше.
Приведенные выше варианты можно (а иногда и нужно) смешивать между собой. Например, ссылку
Для просмотра ссылки Войдиили Зарегистрируйся
с первого раза не поймает не только NOD, но даже и не слишком опытный шифровальщик. Если какой-то вариант вдруг не сработает, нужно пробовать другой, третий, так, с некоторыми зеркалами (вроде kadr.kuragino.ru/blik/) способ 1.1 по непонятной причине не обходит блэклист.
Удачных экспериментов!
P.S. Несмотря на все рекомендации по скрытию урлов современные браузеры не открывают почти ничего из них, только комбинации «собачка-ип» или «собачка-8ип». Это сделано во избежание эксплоитов. Таким образом, есет просто надо повторить код браузеров, чтобы отлавливать такие ип, и все, а это недолго. Скорее всего, первые такие ип просто попадут в блэклист, и пройдет некоторое время, прежде чем в есет просекут ситуацию и напишут фильтр.
Автор WindLord эксперименты проводились с моим зеркалом
так что подтверждаю работоспособность метода
статьтья с другого форума - но думаю полезна будет всем
особая просьба авторам зеркал, которые попали в блэклист,
заново обновлять зеркала - они еще поработают
Далее цитирую:
!!Антивирус Nod 32: Как реанимировать халявные зеркала!!
Насчет зеркал, находящихся в блэклисте. Их создатели, не спешите забрасывать свои творения! Если зеркало попало в блэклист, оно еще не потеряно. Все изложенное ниже справедливо не для тех зеркал, которые NODView показывает, как хорошие и валидные, а только для тех, которые принимает сам NOD32, на которых находятся последние валидные базы, которые не заброшены, но сами адреса их находятся в блэклисте.
Дело в том, что блэклист NODа представляет собой зашифрованную последовательность адресов, а его фильтр - простой контекстный поиск. Если изменить адрес зеркала так, чтобы оно было обозначено по-другому, но тем не менее распознавалось NICом, NOD его пропустит.
Существуют некоторым образом классические приемы маскирования Интернет-адресов. Остается перебрать их и выяснить, какие поддерживает NOD. Я протестировал те приемы, что работали в старых браузерах. Сразу хочу огорчить: записи адреса хексами (типа %6B%61%64%72%2E%6B%75%72%61%67%69%6E%6F%2E%72%75%2F%62%6C%69%6B) NOD не понимает, служебные символы Си, вроде \n\t\x08 фильтруются. Кстати, для списка серверов обновлений NOD применяет определенные правила. Так, он идентифицирует адрес по начальным символам http:// Если их нет, он не считает строку адресом и вставить ее в список обновления не даст. Также он проверяет, есть ли в конце символ / а если нет, подставляет его. Это мелочи, но возможно, они кого-то на что-нибудь натолкнут.
Теперь перейдем к результатам исследования. Извращаться будем над зеркалом Для просмотра ссылки Войди
Из тех способов, что были испробованы, NOD понимает, корректно интерпретирует и пропускает следующие:
1. Собачка
Этот способ основан на добавлении в URL символа @. В протоколе HTTP она используется для передачи на сервер логина и пароля для доступа к запароленным местам сайта. Запрос формируется так: Для просмотра ссылки Войди
Для просмотра ссылки Войди
До собачки можно писать все, что вздумается.
У многих (практически у всех) зеркал забанены не только имена, но и айпи-адреса. Ничего, собственно, не мешает применить собачку к ип (предварительно определив его? например, банальным ping узел):
Для просмотра ссылки Войди
Все это уже спокойно проходит проверку.
2. Скрытие IP-адреса.
2.1. Перевод систем счисления
По большому счету айпи – простая совокупность чисел. Так как для компьютера существует несколько систем счисления, неважно, в какой будет записан ип. Переведем группы ип в шестнадцатеричную и восьмеричную системы (первой в адресе предшествует 0х, второй - 0):
Для просмотра ссылки Войди
Для просмотра ссылки Войди
2.2. Деструктурирование
Теперь усвойте тот факт, что переведенный ип может быть записан и без группировки с одинаковой эффективностью:
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Ошибки также не произойдет, если перевести эти числа в десятичную систему счисления:
Для просмотра ссылки Войди
И напоследок самое интересное. К шестнадцатеричному варианту в начале можно добавить произвольное количество произвольных цифр, например
Для просмотра ссылки Войди
Первые 0123456789 добавлены от балды, максимально проверенная последовательность – 10 символов, а возможно, и больше.
Приведенные выше варианты можно (а иногда и нужно) смешивать между собой. Например, ссылку
Для просмотра ссылки Войди
с первого раза не поймает не только NOD, но даже и не слишком опытный шифровальщик. Если какой-то вариант вдруг не сработает, нужно пробовать другой, третий, так, с некоторыми зеркалами (вроде kadr.kuragino.ru/blik/) способ 1.1 по непонятной причине не обходит блэклист.
Удачных экспериментов!
P.S. Несмотря на все рекомендации по скрытию урлов современные браузеры не открывают почти ничего из них, только комбинации «собачка-ип» или «собачка-8ип». Это сделано во избежание эксплоитов. Таким образом, есет просто надо повторить код браузеров, чтобы отлавливать такие ип, и все, а это недолго. Скорее всего, первые такие ип просто попадут в блэклист, и пройдет некоторое время, прежде чем в есет просекут ситуацию и напишут фильтр.
Автор WindLord эксперименты проводились с моим зеркалом
так что подтверждаю работоспособность метода
D
dimveld
ESET NOD32 v.2.51.30 for WinNT2K2K3XP ; ENG, 11MB, Cracked, REPACK-BRD:
_http://depositfiles.com/files/209250/NOD32_2.51.30.rar
_http://www.mytempdir.com/876758
_http://depositfiles.com/files/209250/NOD32_2.51.30.rar
_http://www.mytempdir.com/876758
Последнее редактирование модератором:
- Статус
Похожие темы
