The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Разбираем nod32 для Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Разбираем nod32 для Linux"  +/
Сообщение от auto_tips (ok) on 09-Дек-09, 12:01 
Пару дней назад появилась новость о выходе бета версии антивируса для линукс систем.
Скачать можно здесь: http://beta.eset.com/linux

Мне стало интересно, что внутри этого бинарника и как его можно установить без инсталляции через dpkg или rpm. у меня дома 64 битный Debian, поэтому загрузил себе версию соответствующей разрядности.

В директории с загруженным из интернета бинарником:

   chmod 755 ueav.x86_64.linux

После этого бинарник можно запустить, но он сразу хочет пароля суперпользователя для установки. Посмотрим, что он хочет. В директории /tmp/ во время запуска появляется поддиректорий с именем подобным /tmp/epkg.uIS8sc/

Сделаем копию в директорий пользователя, т.к. в случае закрытия дилога с вводом пароля root файлы удалятся, что и следует ожидать.

В ESETовском директории можно найти пару интересных файлов, один из которых - бинарник test32 пользователя aurel32. На какой системе он был собран также нетрудно выяснить.

Второй файл намного интереснее, это epkg.rpm

Вытаскиваем содержимое утилитой rpm2cpio (к примеру)

   rpm2cpio epkg.rpm | cpio -idv

В сожалению, можно обнаружить, что в бинарниках есть жесткая привязка в директорию /opt/ поэтому я решил сделать просто символьные линки на папку, в которую я распаковал (перетащил) содержимое, нужны права суперпользователя.

   ln -s /home/username/ESET/opt/eset /opt/eset

ну и остальные, по желанию. Если не хотите, то можно напрямую перетащить директории с содержимым в корневой каталог. содержимое etc в /etc и далее, по списку.

Если сделали, как нужно, то в директории /etc/init.d/ появился скрипт esets, который управляет демоном от eset:

   ./esets
   Usage: ./esets {start|stop|restart|force-reload|reload}

В распакованном нами директории ~/ESET/opt/eset/esets/lib/ есть файл, размером 20 мегабайт: esets_modules. В нем находятся базы сигнатур, которые распаковываются в обычном случае в /opt/eset/esets/lib,
сюда же следует обновлять данные антивируса вручную, если не будет работать актуализация.

В случае, если при старте из консоли вы будете получать сообщение, типа "нет прав...", то можно пойти навстречу требованиям трудящихся:

   chown username:users /opt/eset/ -R
   chown username:users /var/log/esets -R
   chown username:users /var/opt/eset -R
   chown username:users /etc/opt/eset -R

затем запускаем демон

   /etc/init.d/esets force-reload

и после этого GUI:

   /opt/eset/esets/bin/esets_gui

определить разрядность исполняемого файла можно так:

   readelf -h esets_gui

загружаемые библиотеки:

   ldd esets_gui

p.s. графическую оболочку для установки не запускал вообще, уж извините.


URL:
Обсуждается: http://www.opennet.dev/tips/info/2247.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Разбираем nod32 для Linux"  +/
Сообщение от FrBrGeorge (ok) on 09-Дек-09, 12:01 
(<unknown>:1949): GLib-GObject-WARNING **: value "-4" of type `gint' is invalid or out of range for property `spacing' of type `gint'
The program '<unknown>' received an X Window System error.
This probably reflects a bug in the program.
The error was 'BadWindow (invalid Window parameter)'.
  (Details: serial 637 error_code 3 request_code 4 minor_code 0)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Разбираем nod32 для Linux"  +/
Сообщение от Victor (??) on 09-Дек-09, 12:12 
А смысл?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 09-Дек-09, 12:22 
1. разобрал установочный файл после такого:

<цитата>./ueav.x86_64.linux --help
тишина, это какой то откровенный троянский конь</цитата>

<цитата>Если drwxrwxrwx, то всё равно просит пароль.
В общем, стрёмно его запускать.</цитата>

2. ну и просто было интересно, что внутри. да и почистить файлопомойки дома и на работе

3. показать азы, так сказать. чтобы цитат из первого пункта было меньше

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Разбираем nod32 для Linux"  +/
Сообщение от luzers on 09-Дек-09, 13:40 
оне консольную версию не планируют выпустить?
демон как работает? можно на почтовик под линуксятиной прикрутить?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Разбираем nod32 для Linux"  +/
Сообщение от Аноним (??) on 09-Дек-09, 13:48 
а оно виндосовские вирусы ловит?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 09-Дек-09, 14:26 
20 мегов как раз сигнатуры для виндосовских вирусов, для линукса есть гораздо меньше вирусни, да и те - "демо"
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 09-Дек-09, 14:33 
если демон запущен, то он настроен на операции доступа к железкам.

./esets_dac --help
Usage: esets_dac [OPTIONS..]                              
ESETS Dazuko-powered file access control module          

Common options:
      --help     show help and quit
      --version  show version information and quit

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 09-Дек-09, 14:45 
для 32 битной версии:

ldd esets_dac
        linux-gate.so.1 =>  (0xb7783000)
        libpthread.so.0 => /lib/i686/cmov/libpthread.so.0 (0xb774e000)
        libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb7607000)
        /lib/ld-linux.so.2 (0xb7784000)

ldd esets_gui                            
        linux-gate.so.1 =>  (0xb77ed000)                                          
        libpthread.so.0 => /lib/i686/cmov/libpthread.so.0 (0xb77b8000)            
        libgtk-x11-2.0.so.0 => /usr/lib/libgtk-x11-2.0.so.0 (0xb73f5000)          
        libgdk-x11-2.0.so.0 => /usr/lib/libgdk-x11-2.0.so.0 (0xb735e000)          
        libatk-1.0.so.0 => /usr/lib/libatk-1.0.so.0 (0xb7343000)                  
        libgdk_pixbuf-2.0.so.0 => /usr/lib/libgdk_pixbuf-2.0.so.0 (0xb732a000)    
        libm.so.6 => /lib/i686/cmov/libm.so.6 (0xb7304000)                        
        libpangocairo-1.0.so.0 => /usr/lib/libpangocairo-1.0.so.0 (0xb72f9000)    
        libfontconfig.so.1 => /usr/lib/libfontconfig.so.1 (0xb72cd000)            
        libXext.so.6 => /usr/lib/libXext.so.6 (0xb72bf000)                        
        libXrender.so.1 => /usr/lib/libXrender.so.1 (0xb72b6000)                  
        libXinerama.so.1 => /usr/lib/libXinerama.so.1 (0xb72b3000)                
        libXi.so.6 => /usr/lib/libXi.so.6 (0xb72aa000)                            
        libXrandr.so.2 => /usr/lib/libXrandr.so.2 (0xb72a3000)                    
        libXcursor.so.1 => /usr/lib/libXcursor.so.1 (0xb7299000)                  
        libXfixes.so.3 => /usr/lib/libXfixes.so.3 (0xb7294000)                    
        libpango-1.0.so.0 => /usr/lib/libpango-1.0.so.0 (0xb7250000)              
        libcairo.so.2 => /usr/lib/libcairo.so.2 (0xb71d9000)                      
        libX11.so.6 => /usr/lib/libX11.so.6 (0xb70bc000)                          
        libgobject-2.0.so.0 => /usr/lib/libgobject-2.0.so.0 (0xb707e000)          
        libgmodule-2.0.so.0 => /usr/lib/libgmodule-2.0.so.0 (0xb707a000)          
        libdl.so.2 => /lib/i686/cmov/libdl.so.2 (0xb7076000)                      
        libglib-2.0.so.0 => /lib/libglib-2.0.so.0 (0xb6fbf000)                    
        libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb6e78000)                        
        /lib/ld-linux.so.2 (0xb77ee000)                                          
        libXcomposite.so.1 => /usr/lib/libXcomposite.so.1 (0xb6e75000)            
        libXdamage.so.1 => /usr/lib/libXdamage.so.1 (0xb6e71000)                  
        libgio-2.0.so.0 => /usr/lib/libgio-2.0.so.0 (0xb6ddc000)                  
        libpangoft2-1.0.so.0 => /usr/lib/libpangoft2-1.0.so.0 (0xb6db6000)        
        libfreetype.so.6 => /usr/lib/libfreetype.so.6 (0xb6d3f000)                
        libz.so.1 => /usr/lib/libz.so.1 (0xb6d2a000)                              
        libexpat.so.1 => /usr/lib/libexpat.so.1 (0xb6d04000)                      
        libXau.so.6 => /usr/lib/libXau.so.6 (0xb6d01000)
        libpixman-1.so.0 => /usr/lib/libpixman-1.so.0 (0xb6ca3000)
        libdirectfb-1.2.so.0 => /usr/lib/libdirectfb-1.2.so.0 (0xb6c2e000)
        libfusion-1.2.so.0 => /usr/lib/libfusion-1.2.so.0 (0xb6c25000)
        libdirect-1.2.so.0 => /usr/lib/libdirect-1.2.so.0 (0xb6c10000)
        libpng12.so.0 => /usr/lib/libpng12.so.0 (0xb6bec000)
        libxcb-render-util.so.0 => /usr/lib/libxcb-render-util.so.0 (0xb6be8000)
        libxcb-render.so.0 => /usr/lib/libxcb-render.so.0 (0xb6be1000)
        libxcb.so.1 => /usr/lib/libxcb.so.1 (0xb6bc8000)
        libpcre.so.3 => /lib/libpcre.so.3 (0xb6b97000)
        libresolv.so.2 => /lib/i686/cmov/libresolv.so.2 (0xb6b82000)
        libselinux.so.1 => /lib/libselinux.so.1 (0xb6b68000)
        libXdmcp.so.6 => /usr/lib/libXdmcp.so.6 (0xb6b63000)


esets_gil является установочной GUI

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Разбираем nod32 для Linux"  +/
Сообщение от QuAzI (ok) on 09-Дек-09, 15:37 
Почему тема в "полезных советах"? Действия софтины будут весьма деструктивны
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 09-Дек-09, 23:43 
вообще включать комп - действие деструктивное.
могу обосновать. ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Разбираем nod32 для Linux"  +/
Сообщение от Zenitur email on 10-Дек-09, 02:59 
Полезно... Тогда скорее "Собираем NOD32 для Linux. Из бинарных файлов".
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 11-Дек-09, 01:30 
для меня больше понятие "сборка" связано с линкером, а здесь - просто бинарник на понятные составляющие разобрал. не больше.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Разбираем nod32 для Linux"  +/
Сообщение от pavlinux email(ok) on 11-Дек-09, 03:20 
А поснифать куда он лазит?
Где базы качает, какой ключик к сайту летает в пакетах,...

strings на него, чё там интересного?  
Чем собран?
Флаги gcc мож, char * вские...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 11-Дек-09, 09:55 
esets_daemon
в нем найдено strings esets_daemon > txt 120 килобайт текста. это из 843 килобайтного бинарника.

GCC: (GNU) 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)
можно найти даже такое:
/home/zovinec/esets_4.0/UES/apps/uesets/esets_daemon//../../http_server/http_dll/connection/HttpConnectionManager.cpp
/home/zovinec/esets_4.0/UES/apps/uesets/lib/misc/variableex.cpp

даже куски кода на c++ можно найти. и, походу, ребята знают, что есть команда strip, но используют ее без параметров. кое-что еще остается в программе.

некоторые тексты закодированы 4-мя байтами на символ. походу, в массиве int, поэтому они не находятся командой strings

esets_gui
найдено 117 килобайт текста. тоже - по мелочи, как и в демоне.

esets_gil (инсталлятор)
найдено 41 килобайт текстов, среди них и такое:
IDUS_INSTALL_AV_UPDATE_USERNAME|_Username: EAV-19485389 destroy changed IDUS_INSTALL_AV_UPDATE_PASSWORD|_Password: t224skv8e2

много функций из gtk, вылавливаются командой strings

список серверов обновления из esets_modules

DefaultServer0=http://u40.eset.com/eset_upd/
DefaultServer1=http://u41.eset.com/eset_upd/
DefaultServer10=http://um10.eset.com/eset_upd/
DefaultServer11=http://93.184.71.27/eset_upd/
DefaultServer12=http://um12.eset.com/eset_upd/
DefaultServer13=http://89.202.157.227/eset_upd/
DefaultServer14=http://um14.eset.com/eset_upd/
DefaultServer15=http://89.202.149.36/eset_upd/
DefaultServer16=http://um16.eset.com/eset_upd/
DefaultServer2=http://u42.eset.com/eset_upd/
DefaultServer3=http://u43.eset.com/eset_upd/
DefaultServer4=http://u44.eset.com/eset_upd/
DefaultServer5=http://u45.eset.com/eset_upd/
DefaultServer6=http://u46.eset.com/eset_upd/
DefaultServer7=http://u47.eset.com/eset_upd/
DefaultServer8=http://u48.eset.com/eset_upd/
DefaultServer9=http://u49.eset.com/eset_upd/

снифером не проверял.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Разбираем nod32 для Linux"  +/
Сообщение от pavlinux email(ok) on 11-Дек-09, 17:29 
>esets_daemon

IDUS_INSTALL_AV_UPDATE_USERNAME | _Username: EAV-19485389
IDUS_INSTALL_AV_UPDATE_PASSWORD | _Password: t224skv8e2

Во, это уже интересней.  

Кому unlimited ключи к НОДУ !!!! :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 11-Дек-09, 17:37 
да может это просто встроенный триальный ключ. дома займусь проверкой.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Разбираем nod32 для Linux"  +/
Сообщение от pavlinux email(ok) on 11-Дек-09, 17:50 
>да может это просто встроенный триальный ключ. дома займусь проверкой.

Заработало, обновление баз пошло. Срок лицензии истекает 31.03.2010,
1 апреля ждите сюрприз :)

http://s43.radikal.ru/i101/0912/b1/9810be8f317b.png

Для приличия хоть, User-Agent: NOD32/LNX приделали бы...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Разбираем nod32 для Linux"  +/
Сообщение от Карбофос (ok) on 11-Дек-09, 20:04 
да базу можно и ручками актуализировать, можно автоматически - через несколько другие сервера. может даже еще и пароли от win nod32 подойдут. o_O
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру