В днешно време Windows XP е опасна за използване операционна

В днешно време Windows XP е рискова за потребление операционна система. Тя не се поддържа от доста, доста време и в нея има многочислени дупки и проблеми със сигурността, които я вършат доста по-лесна за атакуване в съпоставяне със актуалните аналози, като да вземем за пример Windows 11. Въпреки това има забавно следствие от нейната възраст, което, съвсем парадоксално, оказва помощ за попречване на офанзивите. Тъй като е толкоз остаряла, в нея липсват доста от актуалните функционалности на Windows… а това включва и функционалности, от които зловредният програмен продукт може да се опита да се възползва. Ето за какво инсталирах Windows XP, а по-късно се пробвах да конфигурирам злотворен програмен продукт върху него.

На първо място, не предлагам да вършиме това за себе си. Създадох изолирана виртуална машина и използвах защитна стена, с цел да предотвратя достъпа ѝ до останалата част от домашната ми мрежа. След това изтеглих злотворен програмен продукт и го стартирах, с цел да видя какво ще се случи. За моя изненада в действителност се оказа доста мъчно да накарам актуалните мостри на злотворен програмен продукт даже да се започват. Те търсеха систематични услуги, които не съществуваха, или се опитваха да извършват указания, които не съществуваха.

Означава ли това, че Windows XP е „ безвредна “ операционна система?Не мога да подчертая и акцентира в задоволителна степен на това, че не би трябвало да употребявате Windows XP. Съществува огромно количество злотворен програмен продукт, който ще се оправи с вашата апаратура на Windows XP. При това някои от по-разпространените зловредни стратегии, написани със модерни техники за заобикаляне, които са създадени по метод, който разрешава да бъдат по-коварни, евентуално няма да работят в Windows XP. Това е много забавно и аз използвах дебъгер и Dependency Walker, с цел да проуча какво тъкмо се обърква.

Някои зловредни стратегии са предопределени единствено за 64-битови машини

Не чаках това да е проблем.

Pikabot е стратегия за евакуиране и зареждане на злотворен програмен продукт и употребява редица комплицирани техники, с цел да избегне откриването, тестването и отстраняването на грешките. Ето обаче какво е най-интересното: образецът на зловредния програмен продукт, споделен от vx-underground, е осъществим файл за Win64, тъй че не може да се започва и работи на множеството съоръжения на Windows XP. Само Windows XP Professional x64 Edition би го стартирала, макар че тук не употребявам тази версия. Все отново има и други разновидности на Pikabot, които евентуално ще работят на нашата скромна 32-битова машина с Windows XP.

Попаднах на многочислени мостри, които са изпълними файлове за Win64, и въпреки да съм сигурен, че множеството от тях имат 32-битови еквиваленти за редките случаи, когато това се изисква, не бих се учудил, в случай че някои нападатели не са си създали труда да го сторят. Ако задачата ви е да откраднете нечии идентификационни данни, какъв брой евентуално е една 32-битова машина да е тази, която съдържа скъпа информация? Може да се твърди, че тя може да е част от наследена система в даден бизнес, само че като цяло бих предположил, че просто не си заслужава времето и напъните.

Помислете: за какво един разработчик въобще би си направил труда да сътвори злотворен програмен продукт, който е ориентиран както към 32-битови, по този начин и към 64-битови съоръжения на Windows, и на всичкото от горната страна да си прави труда да поддържа Windows XP? Това са доста старания за нещо, което евентуално няма да е от изгода. Има злотворен програмен продукт, който е основан за по-старите Windows платформи, само че новите и усъвършенствани мостри ще завоюват повече, в случай че се насочат и употребяват по-усъвършенстваните благоприятни условия на актуалните операционни системи, вместо да се пробват да поправят държанието си на по-старите системи.

Един подобен злотворен програмен продукт, който наподобява прави тъкмо това, е CryptBot. Той динамично генерира собствен личен код по време на осъществяване и просто не работи в Windows XP.

CryptBot

Сложният злотворен програмен продукт незабавно основава проблеми.

CryptBot е прочут злотворен програмен продукт, който работи като повсеместен апаш на информация. Той прави скрийншоти на работния ви плот, събира данни за изпращане към сървър за ръководство и надзор и се пробва да измъкне всяка поверителна информация, до която може да се добере. Това е много съвременен злотворен програмен продукт, само че все пак стартирането му на моята виртуална машина с Windows XP не сработва. Той не изтегля нищо, не се пробва да открадне нищо, а просто… изчезва. Защо?

Влизайки в дебъгъра, съумях бързо да схвана каква е най-вероятната причина. Първият път, когато го изпълних, моят дебъгер спря, когато доближи до access violation. Вторият път доближи до невалидна интервенция и не можа да продължи. CryptBot има вградена функционалност, която противодейства на опитите за дебъгване, само че недетерминираният темперамент и мястото, на което попаднах в паметта – изцяло недефинирано място, наподобява е вследствие на динамичното генериране на код на CryptBot. Този злотворен програмен продукт е прочут като полиморфен вирус, защото се декриптира и модифицира по време на осъществяване, и откакто чака съществуването на избрани функционалности на Windows, които в действителност не са налични, това може да докара до непредвидени промени в кода, които в последна сметка да доведат до срив на приложението.

Винаги има възможност това въпреки всичко да е механизъм срещу потреблението на дебъгер, само че към този момент установихме, че той не би могъл да се извършва и отвън дебъгера. Възможно е механизмите за битка с отстраняването на неточности да са усложнили казуса, само че е ясно, че той просто не може да работи на XP. От това, което са разгласили други откриватели, стартирането му в дебъгер също не го слага в случаен сектор от паметта, където не може да се извърши, а вместо това би трябвало да приключи програмата. Тук наподобява, че тя генерира криптиран код и просто се срутва, и това би обяснило за какво резултатът всякога е друг.

И по този начин, опитахме PikaBot и CryptBot, само че ще изпробваме още един: Quasar RAT.

Моля, просто заразете моята виртуална машина с Windows XP

Мислех, че ще е по-лесно.

Quasar е инструмент за далечен достъп, макар че има и няколко троянски коне за далечен достъп (RAT), които го употребяват. В този случай Quasar изисква фреймурка.NET на Microsoft, по-конкретно най-малко.NET 4.0. Това е последната версия на структурата.NET, която в миналото е била поддържана от Windows XP, само че това не значи, че програмата няма да се опита да извика функционалности, които се срещат единствено в актуалните версии на Windows. Това обаче е може би най-интересната неточност от всички.

В моя дебъгер, в долната част на екрана, ще видите код за неточност 80131506. Това е код за неточност.NET ExecutionEngineException и има няколко евентуални аргументи за нея. Точно преди него моят дебъгер провокира изключение с код на неточност E0434352, което е просто обща неточност за изключение и не ни споделя доста.

В последна сметка съумях да го накарам да изведе действителната неточност с повече информация. Грешката, показана нагоре, clr20r3, споделя както доста, по този начин и безусловно нищо. По създание тя значи, че е имало някакво изключение, което не е било обработено. Това може да значи, че са постъпили несъответствуващи данни или че е имало ненадейно събитие, което софтуерът не е програмиран да обработва. Така или другояче, това е още едно доказателство, че става въпрос за фундаментална несъответственост с Windows XP.

Например при актуалните машини с Windows това изключение може да се обработва от операционната система и тя да се държи съгласно упованията. В същото време на нашата скромна машина с Windows XP се случва нещо ненадейно,.NET runtime не знае по какъв начин да се оправи с него и процесът се приключва. Тук няма нищо, което да подсказва за разкриване на неточности или заобикаляне на пясъчника; това наподобява просто като елементарен остарял срив на несъвместимостта. С други думи, злонамереният програмен продукт е построен въз основата на runtime, който към този момент не подсигурява съгласуемост с XP, и никой не се е погрижил за прибавянето на авариен вид.

Не използвайте Windows XP

Може да наподобява примамливо, само че не е.

Знам, че Windows XP наподобява като бастион на сигурността в този случай, като се има поради, че три обособени мостри на злотворен програмен продукт не могат да работят с него. Въпреки това има безчет мостри на злотворен програмен продукт, които ще работят на нея, изключително тези от този интервал. Освен това, като се има поради неналичието на софтуерна съгласуемост, е по-вероятно да се натъкнете на злотворен програмен продукт, който работи с Windows XP, до момента в който търсите програмен продукт, който да работи с него. Вашият пиратски програмен продукт за Windows 11 може да не съдържа злотворен програмен продукт, който работи на XP, само че на първо място надали ще употребявате пиратски програмен продукт, основан за Windows 11, на Windows XP.

Все отново това е забавен метод да се показва какъв брой неефикасен може да бъде софтуерът, основан за по-новите версии на Windows, спрямо по-старите версии. За поддържането на съвместимостта на софтуера се поставя доста труд, а когато той не е извършен… ето какъв е резултатът. Технически софтуерът може да работи, само че няма никаква гаранция, че той в действителност ще работи. Само ви апелирам да не употребявате Windows XP; може би вместо това е по-добре да преминете към Linux или нещо друго.