The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Разбираем nod32 для Linux
Пару дней назад появилась новость о выходе бета версии антивируса для линукс систем. 
Скачать можно здесь: http://beta.eset.com/linux

Мне стало интересно, что внутри этого бинарника и как его можно установить без
инсталляции через dpkg или rpm. у меня дома 64 битный Debian, поэтому загрузил
себе версию соответствующей разрядности.

В директории с загруженным из интернета бинарником:

   chmod 755 ueav.x86_64.linux

После этого бинарник можно запустить, но он сразу хочет пароля
суперпользователя для установки. Посмотрим, что он хочет. В директории /tmp/ во
время запуска появляется поддиректорий с именем подобным /tmp/epkg.uIS8sc/

Сделаем копию в директорий пользователя, т.к. в случае закрытия дилога с вводом
пароля root файлы удалятся, что и следует ожидать.

В ESETовском директории можно найти пару интересных файлов, один из которых -
бинарник test32 пользователя aurel32. На какой системе он был собран также
нетрудно выяснить.

Второй файл намного интереснее, это epkg.rpm

Вытаскиваем содержимое утилитой rpm2cpio (к примеру)

   rpm2cpio epkg.rpm | cpio -idv

В сожалению, можно обнаружить, что в бинарниках есть жесткая привязка в
директорию /opt/ поэтому я решил сделать просто символьные линки на папку, в
которую я распаковал (перетащил) содержимое, нужны права суперпользователя.

   ln -s /home/username/ESET/opt/eset /opt/eset

ну и остальные, по желанию. Если не хотите, то можно напрямую перетащить
директории с содержимым в корневой каталог. содержимое etc в /etc и далее, по списку.

Если сделали, как нужно, то в директории /etc/init.d/ появился скрипт esets,
который управляет демоном от eset:

   ./esets
   Usage: ./esets {start|stop|restart|force-reload|reload}

В распакованном нами директории ~/ESET/opt/eset/esets/lib/ есть файл, размером
20 мегабайт: esets_modules. В нем находятся базы сигнатур, которые
распаковываются в обычном случае в /var/opt/eset/esets/lib/,
сюда же следует обновлять данные антивируса вручную, если не будет работать актуализация. 

В случае, если при старте из консоли вы будете получать сообщение, типа "нет
прав...", то можно пойти навстречу требованиям трудящихся:

   chown username:users /opt/eset/ -R
   chown username:users /var/log/esets -R
   chown username:users /var/opt/eset -R
   chown username:users /etc/opt/eset -R

затем запускаем демон

   /etc/init.d/esets force-reload

и после этого GUI:

   /opt/eset/esets/bin/esets_gui

определить разрядность исполняемого файла можно так:

   readelf -h esets_gui

загружаемые библиотеки:

   ldd esets_gui

p.s. графическую оболочку для установки не запускал вообще, уж извините.
 
09.12.2009 , Автор: Карбофос
Ключи: nod32, virus, linux, install / Лицензия: CC-BY
Раздел:    Корень / Администратору / Система / Linux специфика / Установка и работа с пакетами программ в Linux

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, FrBrGeorge (ok), 12:01, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    (<unknown>:1949): GLib-GObject-WARNING **: value "-4" of type 'gint' is invalid or out of range for property 'spacing' of type 'gint'
    The program '<unknown>' received an X Window System error.
    This probably reflects a bug in the program.
    The error was 'BadWindow (invalid Window parameter)'.
      (Details: serial 637 error_code 3 request_code 4 minor_code 0)
     
     
  • 2.8, Карбофос (ok), 14:45, 09/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    для 32 битной версии ldd esets_dac linux-gate so 1 0xb7783000 ... большой текст свёрнут, показать
     

  • 1.2, Victor (??), 12:12, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А смысл?
     
     
  • 2.3, Карбофос (ok), 12:22, 09/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    1. разобрал установочный файл после такого:

    <цитата>./ueav.x86_64.linux --help
    тишина, это какой то откровенный троянский конь</цитата>

    <цитата>Если drwxrwxrwx, то всё равно просит пароль.
    В общем, стрёмно его запускать.</цитата>

    2. ну и просто было интересно, что внутри. да и почистить файлопомойки дома и на работе

    3. показать азы, так сказать. чтобы цитат из первого пункта было меньше

     

  • 1.4, luzers (?), 13:40, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    оне консольную версию не планируют выпустить?
    демон как работает? можно на почтовик под линуксятиной прикрутить?
     
     
  • 2.7, Карбофос (ok), 14:33, 09/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    если демон запущен, то он настроен на операции доступа к железкам.

    ./esets_dac --help
    Usage: esets_dac [OPTIONS..]                              
    ESETS Dazuko-powered file access control module          

    Common options:
          --help     show help and quit
          --version  show version information and quit

     

  • 1.5, Аноним (-), 13:48, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а оно виндосовские вирусы ловит?
     
     
  • 2.6, Карбофос (ok), 14:26, 09/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    20 мегов как раз сигнатуры для виндосовских вирусов, для линукса есть гораздо меньше вирусни, да и те - "демо"
     

  • 1.9, QuAzI (ok), 15:37, 09/12/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему тема в "полезных советах"? Действия софтины будут весьма деструктивны
     
     
  • 2.10, Карбофос (ok), 23:43, 09/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    вообще включать комп - действие деструктивное.
    могу обосновать. ;)
     

  • 1.11, Zenitur (?), 02:59, 10/12/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Полезно... Тогда скорее "Собираем NOD32 для Linux. Из бинарных файлов".
     
     
  • 2.12, Карбофос (ok), 01:30, 11/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    для меня больше понятие "сборка" связано с линкером, а здесь - просто бинарник на понятные составляющие разобрал. не больше.
     

  • 1.13, pavlinux (ok), 03:20, 11/12/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А поснифать куда он лазит?
    Где базы качает, какой ключик к сайту летает в пакетах,...

    strings на него, чё там интересного?  
    Чем собран?
    Флаги gcc мож, char * вские...

     
     
  • 2.14, Карбофос (ok), 09:55, 11/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    esets_daemon
    в нем найдено strings esets_daemon > txt 120 килобайт текста. это из 843 килобайтного бинарника.

    GCC: (GNU) 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)
    можно найти даже такое:
    /home/zovinec/esets_4.0/UES/apps/uesets/esets_daemon//../../http_server/http_dll/connection/HttpConnectionManager.cpp
    /home/zovinec/esets_4.0/UES/apps/uesets/lib/misc/variableex.cpp

    даже куски кода на c++ можно найти. и, походу, ребята знают, что есть команда strip, но используют ее без параметров. кое-что еще остается в программе.

    некоторые тексты закодированы 4-мя байтами на символ. походу, в массиве int, поэтому они не находятся командой strings

    esets_gui
    найдено 117 килобайт текста. тоже - по мелочи, как и в демоне.

    esets_gil (инсталлятор)
    найдено 41 килобайт текстов, среди них и такое:
    IDUS_INSTALL_AV_UPDATE_USERNAME|_Username: EAV-19485389 destroy changed IDUS_INSTALL_AV_UPDATE_PASSWORD|_Password: t224skv8e2

    много функций из gtk, вылавливаются командой strings

    список серверов обновления из esets_modules

    DefaultServer0=http://u40.eset.com/eset_upd/
    DefaultServer1=http://u41.eset.com/eset_upd/
    DefaultServer10=http://um10.eset.com/eset_upd/
    DefaultServer11=http://93.184.71.27/eset_upd/
    DefaultServer12=http://um12.eset.com/eset_upd/
    DefaultServer13=http://89.202.157.227/eset_upd/
    DefaultServer14=http://um14.eset.com/eset_upd/
    DefaultServer15=http://89.202.149.36/eset_upd/
    DefaultServer16=http://um16.eset.com/eset_upd/
    DefaultServer2=http://u42.eset.com/eset_upd/
    DefaultServer3=http://u43.eset.com/eset_upd/
    DefaultServer4=http://u44.eset.com/eset_upd/
    DefaultServer5=http://u45.eset.com/eset_upd/
    DefaultServer6=http://u46.eset.com/eset_upd/
    DefaultServer7=http://u47.eset.com/eset_upd/
    DefaultServer8=http://u48.eset.com/eset_upd/
    DefaultServer9=http://u49.eset.com/eset_upd/

    снифером не проверял.

     
     
  • 3.15, pavlinux (ok), 17:29, 11/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >esets_daemon

    IDUS_INSTALL_AV_UPDATE_USERNAME | _Username: EAV-19485389
    IDUS_INSTALL_AV_UPDATE_PASSWORD | _Password: t224skv8e2

    Во, это уже интересней.  

    Кому unlimited ключи к НОДУ !!!! :)

     
     
  • 4.16, Карбофос (ok), 17:37, 11/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    да может это просто встроенный триальный ключ. дома займусь проверкой.
     
     
  • 5.17, pavlinux (ok), 17:50, 11/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >да может это просто встроенный триальный ключ. дома займусь проверкой.

    Заработало, обновление баз пошло. Срок лицензии истекает 31.03.2010,
    1 апреля ждите сюрприз :)

    http://s43.radikal.ru/i101/0912/b1/9810be8f317b.png

    Для приличия хоть, User-Agent: NOD32/LNX приделали бы...

     
     
  • 6.18, Карбофос (ok), 20:04, 11/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    да базу можно и ручками актуализировать, можно автоматически - через несколько другие сервера. может даже еще и пароли от win nod32 подойдут. o_O
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру