The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Разбираем nod32 для Linux
Пару дней назад появилась новость о выходе бета версии антивируса для линукс систем. 
Скачать можно здесь: http://beta.eset.com/linux

Мне стало интересно, что внутри этого бинарника и как его можно установить без
инсталляции через dpkg или rpm. у меня дома 64 битный Debian, поэтому загрузил
себе версию соответствующей разрядности.

В директории с загруженным из интернета бинарником:

   chmod 755 ueav.x86_64.linux

После этого бинарник можно запустить, но он сразу хочет пароля
суперпользователя для установки. Посмотрим, что он хочет. В директории /tmp/ во
время запуска появляется поддиректорий с именем подобным /tmp/epkg.uIS8sc/

Сделаем копию в директорий пользователя, т.к. в случае закрытия дилога с вводом
пароля root файлы удалятся, что и следует ожидать.

В ESETовском директории можно найти пару интересных файлов, один из которых -
бинарник test32 пользователя aurel32. На какой системе он был собран также
нетрудно выяснить.

Второй файл намного интереснее, это epkg.rpm

Вытаскиваем содержимое утилитой rpm2cpio (к примеру)

   rpm2cpio epkg.rpm | cpio -idv

В сожалению, можно обнаружить, что в бинарниках есть жесткая привязка в
директорию /opt/ поэтому я решил сделать просто символьные линки на папку, в
которую я распаковал (перетащил) содержимое, нужны права суперпользователя.

   ln -s /home/username/ESET/opt/eset /opt/eset

ну и остальные, по желанию. Если не хотите, то можно напрямую перетащить
директории с содержимым в корневой каталог. содержимое etc в /etc и далее, по списку.

Если сделали, как нужно, то в директории /etc/init.d/ появился скрипт esets,
который управляет демоном от eset:

   ./esets
   Usage: ./esets {start|stop|restart|force-reload|reload}

В распакованном нами директории ~/ESET/opt/eset/esets/lib/ есть файл, размером
20 мегабайт: esets_modules. В нем находятся базы сигнатур, которые
распаковываются в обычном случае в /var/opt/eset/esets/lib/,
сюда же следует обновлять данные антивируса вручную, если не будет работать актуализация. 

В случае, если при старте из консоли вы будете получать сообщение, типа "нет
прав...", то можно пойти навстречу требованиям трудящихся:

   chown username:users /opt/eset/ -R
   chown username:users /var/log/esets -R
   chown username:users /var/opt/eset -R
   chown username:users /etc/opt/eset -R

затем запускаем демон

   /etc/init.d/esets force-reload

и после этого GUI:

   /opt/eset/esets/bin/esets_gui

определить разрядность исполняемого файла можно так:

   readelf -h esets_gui

загружаемые библиотеки:

   ldd esets_gui

p.s. графическую оболочку для установки не запускал вообще, уж извините.
 
09.12.2009 , Автор: Карбофос
Ключи: nod32, virus, linux, install / Лицензия: CC-BY
Раздел:    Корень / Администратору / Система / Linux специфика / Установка и работа с пакетами программ в Linux

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, FrBrGeorge, 12:01, 09/12/2009 [ответить] [смотреть все]
  • +/
    (<unknown>:1949): GLib-GObject-WARNING **: value "-4" of type 'gint' is invalid or out of range for property 'spacing' of type 'gint'
    The program '<unknown>' received an X Window System error.
    This probably reflects a bug in the program.
    The error was 'BadWindow (invalid Window parameter)'.
      (Details: serial 637 error_code 3 request_code 4 minor_code 0)
     
     
  • 2.8, Карбофос, 14:45, 09/12/2009 [^] [ответить] [смотреть все]
  • +/
    для 32 битной версии ldd esets_dac linux-gate so 1 0xb7783000 ... весь текст скрыт [показать]
     
  • 1.2, Victor, 12:12, 09/12/2009 [ответить] [смотреть все]  
  • +/
    А смысл?
     
     
  • 2.3, Карбофос, 12:22, 09/12/2009 [^] [ответить] [смотреть все]  
  • +/
    1. разобрал установочный файл после такого:

    <цитата>./ueav.x86_64.linux --help
    тишина, это какой то откровенный троянский конь</цитата>

    <цитата>Если drwxrwxrwx, то всё равно просит пароль.
    В общем, стрёмно его запускать.</цитата>

    2. ну и просто было интересно, что внутри. да и почистить файлопомойки дома и на работе

    3. показать азы, так сказать. чтобы цитат из первого пункта было меньше

     
  • 1.4, luzers, 13:40, 09/12/2009 [ответить] [смотреть все]  
  • +/
    оне консольную версию не планируют выпустить?
    демон как работает? можно на почтовик под линуксятиной прикрутить?
     
     
  • 2.7, Карбофос, 14:33, 09/12/2009 [^] [ответить] [смотреть все]  
  • +/
    если демон запущен, то он настроен на операции доступа к железкам.

    ./esets_dac --help
    Usage: esets_dac [OPTIONS..]                              
    ESETS Dazuko-powered file access control module          

    Common options:
          --help     show help and quit
          --version  show version information and quit

     
  • 1.5, Аноним, 13:48, 09/12/2009 [ответить] [смотреть все]  
  • +/
    а оно виндосовские вирусы ловит?
     
     
  • 2.6, Карбофос, 14:26, 09/12/2009 [^] [ответить] [смотреть все]  
  • +/
    20 мегов как раз сигнатуры для виндосовских вирусов, для линукса есть гораздо меньше вирусни, да и те - "демо"
     
  • 1.9, QuAzI, 15:37, 09/12/2009 [ответить] [смотреть все]  
  • +/
    Почему тема в "полезных советах"? Действия софтины будут весьма деструктивны
     
     
  • 2.10, Карбофос, 23:43, 09/12/2009 [^] [ответить] [смотреть все]  
  • +/
    вообще включать комп - действие деструктивное.
    могу обосновать. ;)
     
  • 1.11, Zenitur, 02:59, 10/12/2009 [ответить] [смотреть все]  
  • +/
    Полезно... Тогда скорее "Собираем NOD32 для Linux. Из бинарных файлов".
     
     
  • 2.12, Карбофос, 01:30, 11/12/2009 [^] [ответить] [смотреть все]  
  • +/
    для меня больше понятие "сборка" связано с линкером, а здесь - просто бинарник на понятные составляющие разобрал. не больше.
     
  • 1.13, pavlinux, 03:20, 11/12/2009 [ответить] [смотреть все]  
  • +/
    А поснифать куда он лазит?
    Где базы качает, какой ключик к сайту летает в пакетах,...

    strings на него, чё там интересного?  
    Чем собран?
    Флаги gcc мож, char * вские...

     
     
  • 2.14, Карбофос, 09:55, 11/12/2009 [^] [ответить] [смотреть все]  
  • +/
    esets_daemon в нем найдено strings esets_daemon txt 120 килобайт текста это и... весь текст скрыт [показать]
     
     
  • 3.15, pavlinux, 17:29, 11/12/2009 [^] [ответить] [смотреть все]  
  • +/
    >esets_daemon

    IDUS_INSTALL_AV_UPDATE_USERNAME | _Username: EAV-19485389
    IDUS_INSTALL_AV_UPDATE_PASSWORD | _Password: t224skv8e2

    Во, это уже интересней.  

    Кому unlimited ключи к НОДУ !!!! :)

     
     
  • 4.16, Карбофос, 17:37, 11/12/2009 [^] [ответить] [смотреть все]  
  • +/
    да может это просто встроенный триальный ключ. дома займусь проверкой.
     
     
  • 5.17, pavlinux, 17:50, 11/12/2009 [^] [ответить] [смотреть все]  
  • +/
    >да может это просто встроенный триальный ключ. дома займусь проверкой.

    Заработало, обновление баз пошло. Срок лицензии истекает 31.03.2010,
    1 апреля ждите сюрприз :)

    http://s43.radikal.ru/i101/0912/b1/9810be8f317b.png

    Для приличия хоть, User-Agent: NOD32/LNX приделали бы...

     
     
  • 6.18, Карбофос, 20:04, 11/12/2009 [^] [ответить] [смотреть все]  
  • +/
    да базу можно и ручками актуализировать, можно автоматически - через несколько другие сервера. может даже еще и пароли от win nod32 подойдут. o_O
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor