The OpenNET Project: Разбираем nod32 для Linux

Разбираем nod32 для Linux	[исправить]
Пару дней назад появилась новость о выходе бета версии антивируса для линукс систем. Скачать можно здесь: http://beta.eset.com/linux Мне стало интересно, что внутри этого бинарника и как его можно установить без инсталляции через dpkg или rpm. у меня дома 64 битный Debian, поэтому загрузил себе версию соответствующей разрядности. В директории с загруженным из интернета бинарником: chmod 755 ueav.x86_64.linux После этого бинарник можно запустить, но он сразу хочет пароля суперпользователя для установки. Посмотрим, что он хочет. В директории /tmp/ во время запуска появляется поддиректорий с именем подобным /tmp/epkg.uIS8sc/ Сделаем копию в директорий пользователя, т.к. в случае закрытия дилога с вводом пароля root файлы удалятся, что и следует ожидать. В ESETовском директории можно найти пару интересных файлов, один из которых - бинарник test32 пользователя aurel32. На какой системе он был собран также нетрудно выяснить. Второй файл намного интереснее, это epkg.rpm Вытаскиваем содержимое утилитой rpm2cpio (к примеру) rpm2cpio epkg.rpm \| cpio -idv В сожалению, можно обнаружить, что в бинарниках есть жесткая привязка в директорию /opt/ поэтому я решил сделать просто символьные линки на папку, в которую я распаковал (перетащил) содержимое, нужны права суперпользователя. ln -s /home/username/ESET/opt/eset /opt/eset ну и остальные, по желанию. Если не хотите, то можно напрямую перетащить директории с содержимым в корневой каталог. содержимое etc в /etc и далее, по списку. Если сделали, как нужно, то в директории /etc/init.d/ появился скрипт esets, который управляет демоном от eset: ./esets Usage: ./esets {start\|stop\|restart\|force-reload\|reload} В распакованном нами директории ~/ESET/opt/eset/esets/lib/ есть файл, размером 20 мегабайт: esets_modules. В нем находятся базы сигнатур, которые распаковываются в обычном случае в /var/opt/eset/esets/lib/, сюда же следует обновлять данные антивируса вручную, если не будет работать актуализация. В случае, если при старте из консоли вы будете получать сообщение, типа "нет прав...", то можно пойти навстречу требованиям трудящихся: chown username:users /opt/eset/ -R chown username:users /var/log/esets -R chown username:users /var/opt/eset -R chown username:users /etc/opt/eset -R затем запускаем демон /etc/init.d/esets force-reload и после этого GUI: /opt/eset/esets/bin/esets_gui определить разрядность исполняемого файла можно так: readelf -h esets_gui загружаемые библиотеки: ldd esets_gui p.s. графическую оболочку для установки не запускал вообще, уж извините.


09.12.2009 , Автор: Карбофос Ключи: nod32, virus, linux, install / Лицензия: CC-BY
Раздел: Корень / Администратору / Система / Linux специфика / Установка и работа с пакетами программ в Linux

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, FrBrGeorge (ok), 12:01, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
(<unknown>:1949): GLib-GObject-WARNING **: value "-4" of type 'gint' is invalid or out of range for property 'spacing' of type 'gint' The program '<unknown>' received an X Window System error. This probably reflects a bug in the program. The error was 'BadWindow (invalid Window parameter)'. (Details: serial 637 error_code 3 request_code 4 minor_code 0)

2.8, Карбофос (ok), 14:45, 09/12/2009 [^] [^^] [^^^] [ответить]	+/–
для 32 битной версии ldd esets_dac linux-gate so 1 0xb7783000 ... большой текст свёрнут, показать

1.2, Victor (??), 12:12, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А смысл?

2.3, Карбофос (ok), 12:22, 09/12/2009 [^] [^^] [^^^] [ответить]

+/–

1. разобрал установочный файл после такого:

<цитата>./ueav.x86_64.linux --help
тишина, это какой то откровенный троянский конь</цитата>

<цитата>Если drwxrwxrwx, то всё равно просит пароль.
В общем, стрёмно его запускать.</цитата>

2. ну и просто было интересно, что внутри. да и почистить файлопомойки дома и на работе

3. показать азы, так сказать. чтобы цитат из первого пункта было меньше

1.4, luzers (?), 13:40, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
оне консольную версию не планируют выпустить? демон как работает? можно на почтовик под линуксятиной прикрутить?

2.7, Карбофос (ok), 14:33, 09/12/2009 [^] [^^] [^^^] [ответить]

+/–

если демон запущен, то он настроен на операции доступа к железкам.

./esets_dac --help
Usage: esets_dac [OPTIONS..]
ESETS Dazuko-powered file access control module

Common options:
--help show help and quit
--version show version information and quit

1.5, Аноним (-), 13:48, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а оно виндосовские вирусы ловит?

2.6, Карбофос (ok), 14:26, 09/12/2009 [^] [^^] [^^^] [ответить]	+/–
20 мегов как раз сигнатуры для виндосовских вирусов, для линукса есть гораздо меньше вирусни, да и те - "демо"

1.9, QuAzI (ok), 15:37, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Почему тема в "полезных советах"? Действия софтины будут весьма деструктивны

2.10, Карбофос (ok), 23:43, 09/12/2009 [^] [^^] [^^^] [ответить]	+/–
вообще включать комп - действие деструктивное. могу обосновать. ;)

1.11, Zenitur (?), 02:59, 10/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Полезно... Тогда скорее "Собираем NOD32 для Linux. Из бинарных файлов".

2.12, Карбофос (ok), 01:30, 11/12/2009 [^] [^^] [^^^] [ответить]	+/–
для меня больше понятие "сборка" связано с линкером, а здесь - просто бинарник на понятные составляющие разобрал. не больше.

1.13, pavlinux (ok), 03:20, 11/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А поснифать куда он лазит? Где базы качает, какой ключик к сайту летает в пакетах,... strings на него, чё там интересного? Чем собран? Флаги gcc мож, char * вские...

2.14, Карбофос (ok), 09:55, 11/12/2009 [^] [^^] [^^^] [ответить]

+/–

esets_daemon
в нем найдено strings esets_daemon > txt 120 килобайт текста. это из 843 килобайтного бинарника.

GCC: (GNU) 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)
можно найти даже такое:
/home/zovinec/esets_4.0/UES/apps/uesets/esets_daemon//../../http_server/http_dll/connection/HttpConnectionManager.cpp
/home/zovinec/esets_4.0/UES/apps/uesets/lib/misc/variableex.cpp

даже куски кода на c++ можно найти. и, походу, ребята знают, что есть команда strip, но используют ее без параметров. кое-что еще остается в программе.

некоторые тексты закодированы 4-мя байтами на символ. походу, в массиве int, поэтому они не находятся командой strings

esets_gui
найдено 117 килобайт текста. тоже - по мелочи, как и в демоне.

esets_gil (инсталлятор)
найдено 41 килобайт текстов, среди них и такое:
IDUS_INSTALL_AV_UPDATE_USERNAME|_Username: EAV-19485389 destroy changed IDUS_INSTALL_AV_UPDATE_PASSWORD|_Password: t224skv8e2

много функций из gtk, вылавливаются командой strings

список серверов обновления из esets_modules

снифером не проверял.

3.15, pavlinux (ok), 17:29, 11/12/2009 [^] [^^] [^^^] [ответить]

+/–

>esets_daemon

IDUS_INSTALL_AV_UPDATE_USERNAME | _Username: EAV-19485389
IDUS_INSTALL_AV_UPDATE_PASSWORD | _Password: t224skv8e2

Во, это уже интересней.

Кому unlimited ключи к НОДУ !!!! :)

4.16, Карбофос (ok), 17:37, 11/12/2009 [^] [^^] [^^^] [ответить]	+/–
да может это просто встроенный триальный ключ. дома займусь проверкой.

5.17, pavlinux (ok), 17:50, 11/12/2009 [^] [^^] [^^^] [ответить]

+/–

>да может это просто встроенный триальный ключ. дома займусь проверкой.

Заработало, обновление баз пошло. Срок лицензии истекает 31.03.2010,
1 апреля ждите сюрприз :)

http://s43.radikal.ru/i101/0912/b1/9810be8f317b.png

Для приличия хоть, User-Agent: NOD32/LNX приделали бы...

6.18, Карбофос (ok), 20:04, 11/12/2009 [^] [^^] [^^^] [ответить]	+/–
да базу можно и ручками актуализировать, можно автоматически - через несколько другие сервера. может даже еще и пароли от win nod32 подойдут. o_O

Добавить комментарий