Троян против Ирана на неизвестном языке программирования

> Самый известный троян современности написан на неизвестном языке программирования

если язык неизвестен, то как эту программу машина обрабатывает и воспринимает?

>> Самый известный троян современности написан на неизвестном языке программирования
>
> если язык неизвестен, то как эту программу машина обрабатывает и воспринимает?

Любой язык программирования, который компилирует, на выходе даёт исполняемые файлы и библиотеки (в случае винды это *.exe и *.dll), которые может понять любой компьютер. Анализируя эти файлы, можно примерно понять, на каком языке программирования был изначально написан код, потому что у каждого компилятора есть особенности, которые можно распознать. Тут товарищи ничего распознать не смогли, и соотв. сделали такие выводы.

З.Ы.Твое утверждение верно для языков, программы на которых представляют собой не набор машинных команд, а собственно код на этом самом языке, типа Java и JavaScript, для исполнения этих программ на компьютере должна быть установлена программа, которая понимает код языка, например Java virtual Machine.

> З.Ы.Твое утверждение верно для языков, программы на которых представляют собой не набор машинных команд, а собственно код на этом самом языке, типа Java и JavaScript, для исполнения этих программ на компьютере должна быть установлена программа, которая понимает код языка, например Java virtual Machine.

Java компилирует в специальный байт-код, который уже обрабатывает JVM.
Ты, видимо, говоришь про скриптовые языки типа Perl, PHP, Python — тысячи их.

> всегда казалось, что бы машина могла понимать язык программирования, у неё должен быть установлен дешифровщик или что-то в этом духе.

Язык программирования компилируется в машинные исполняемые коды, которые понимает процессор. Человеку они ни о чём не скажут — открой любой екзешник в блокноте.

> А так да - имел ввиду интерпретаторы,

Считаю, надо пояснить что процессор не понимает скриптовые языки напрямую, просто интерпретатор переводит их в машинные коды на лету.

> Считаю, надо пояснить что процессор не понимает скриптовые языки напрямую, просто интерпретатор переводит их в машинные коды на лету.

Микропроцессор (давайте правильно его называть) - вообще нихрена не понимает. Большей частью, он умеет передвигать регистры и другой хренью заниматься, для обычного пользователя - совершенно неведомой.

>> Самый известный троян современности написан на неизвестном языке программирования
>
> если язык неизвестен, то как эту программу машина обрабатывает и воспринимает?

Машинные команды они из ноликов и единичек

Не посредственно на них никто не пишет(вернее можно на ассемблере, который имеет читаемую форму, но обычно его используют частично) .

При компиляции в машинный код, можно отследить некоторые закономерности.

> Может это был непосредственно машинный код, без всяких языков и компиляторов?

Может, но очень трудоемко, и надо иметь соответствующим образом повернутые мозги.

Обычные трояны скорее всего так не пишутся.

> Обычные трояны скорее всего так не пишутся.

Хм... а мне казалось, что как раз так и пишутся, потому как засунуть маленькую программку в любой первый попавшийся *.exe файл так, чтобы не повлияло на размер, - это проще всего в машинных кодах.

>> Обычные трояны скорее всего так не пишутся.
>
> Хм... а мне казалось, что как раз так и пишутся, потому как засунуть маленькую программку в любой первый попавшийся *.exe файл так, чтобы не повлияло на размер, - это проще всего в машинных кодах.

Это когда было? Кто будет с нуля писать подключение к интернету?

>>> Обычные трояны скорее всего так не пишутся.
>>
>> Хм... а мне казалось, что как раз так и пишутся, потому как засунуть маленькую программку в любой первый попавшийся *.exe файл так, чтобы не повлияло на размер, - это проще всего в машинных кодах.
>
> Это когда было? Кто будет с нуля писать подключение к интернету?

Если это разработка "серьезных людей", то почему нет?

> Может это был непосредственно машинный код, без всяких языков и компиляторов?

Нет, потому что код определённо построен по парадигме ООП(объектно ориентированного программирования).
[censored]

Использование ООП на асcемблере("просто машинный код" на нём и пишется), удел продвинутых мазохистов, а не профессионалов.

Скорее всего, его написали на OCaml.

> а чем компилируется?
> машинные исполняемые коды это нолики и единички?

1) Компилируется компилятором и в результате получается исполнимый файл(в случае винды *.exe).
Компиляция проходит ещё на машине программиста и спец программ на машину пользователя ставить не надо.
2) Да, машинные коды это просто набор логических Да и Нет, то есть нули и единицы. Для удобства чтения и написания, они группируются в хексы(пары шестнацитеричных цифр). Для ещё большего удобства существуют ассемблеры, в которых хексы заменяются очень примитивными командами.

Можно проще наглядно :) показать: как будет выглядить простейшая задача, - вывести на дисплей "Hello, world!" на языке Ассемблера, с расшифрокой машинных кодов:

Адрес Код Метка Команда
----- -------- ----- ------------------
0100 1E push DS
0101 B4 09 mov AH,09
0103 BA 10 01 mov DX,offset @H
0106 0E push CS
0107 1F pop DS
0108 CD 21 int 21H
010A 1F pop DS
010B B8 00 4C mov AX,4C00H
010E CD 21 int 21H
0110 48 @H: db "Hello, world!$"
0111 65
0112 6C
0113 6C
0114 6F
0115 2C
0116 20
0117 77
0118 6F
0119 72
011A 6C
011B 64
011C 21
011D 24

>>> 2) Да, машинные коды это просто набор логических Да и Нет, то есть нули и единицы.
>>
>> Я бы не стал так упрощать.
>>
>> Нули и единички это номера команд, адреса памяти, цифры, буквы.
>
> Один и тот же код может быть как командой, так и символом – зависит от места, которое этот код занимает.

Разумеется. Я к тому, что код не сводится к простейшему да или нет

Кстати, есть замечательная флеш-игра для объяснения основных понятий программирования, и ассемблера в частности. Можно рекомендовать для школьников младших классов:[censored]

>> если язык неизвестен, то как эту программу машина обрабатывает и воспринимает?

> Видимо на языке Любви: он универсален.

Берём гнусь с либами, пересобираем с максимальной оптимизацией (на любой платформе).

Берём исходник виря на «си» (не «-плюс-плюс»...) и компиляем с максимальной оптимизацией этим самым gcc.

Получаем ни на что не похожий код для целевого проца и, вообще, для целевой архитектуры.

В коде -- ни одной сигнатуры, в данных -- ни единого намёка на сборку знакомыми средствами, имеем вирь -- чисто вирь. Привет криптоматематикам.

> А на каком они там языке написаны, Операционной системы - абсолютно похрену.

ППКС. Как (в прошлом) программер -- утверждаю то же самое.

> При компиляции в машинный код, можно отследить некоторые закономерности.

WATCOM C тебе ведом?

>> Ассемблер и машинный код - разные вещи.

> Команды ассемблера напрямую соответствуют командам машины.

Платформа DEC-PDP/11-M -- есть у тебя примеры соответствия команд языка «SUPERMAC-11» и машинных кодов?

> Можно проще наглядно :) показать: как будет выглядить простейшая задача, - вывести на дисплей "Hello, world!" на языке Ассемблера, с расшифрокой машинных кодов:

> Адрес Код Метка Команда
> ----- -------- ----- ------------------
> 0100 1E push DS
> 0101 B4 09 mov AH,09
> 0103 BA 10 01 mov DX,offset @H
> 0106 0E push CS
> 0107 1F pop DS
> 0108 CD 21 int 21H
> 010A 1F pop DS
> 010B B8 00 4C mov AX,4C00H
> 010E CD 21 int 21H
> 0110 48 @H: db "Hello, world!$"
> 0111 65
> 0112 6C
> 0113 6C
> 0114 6F
> 0115 2C
> 0116 20
> 0117 77
> 0118 6F
> 0119 72
> 011A 6C
> 011B 64
> 011C 21
> 011D 24

.code
ORG 100h
PUSH CS
POP DS ; хотя это только для наглядности, в реале x86 эти действия выполняет слишком долго (от 4 до 6 тактов), есть хакерская комбинация дублирования CS в DS за 2 такта, но я вам про неё не скажу :)))

MOV AH, 09h
MOV DX, offset @Msg
INT 21h

MOV AX, 4C00h
INT 21h

.data
@Msg: DB "HELL'o world!", 13, 10, "$"


Да, действительно, вывод на экран 13 значащих символов занимает 20h байтов на диске и примерно 200h байтов в «нижней» DOS-памяти (а меньше, собственно, и никак -- память выделяется «параграфами»).

Когда я в позднесоветские годы работал программером в НИИ, у нас было соревнование: кто напишет наикратчайшую (в смысле размеров .COM-файла) программу, совершающую полезные действия. Я в 16 байтов уложил перемигивание лампочек на клавиатуре. Код не помню, т.к. оно писалось в отладчике, сразу в командах, и исходника у этой проги НЕТ... :)))

> 0100 CF iret

Эта команда снимает со стека сразу 4 байта. Поскольку при запуске .COM-файла на стеке ничего не лежит, снятие 4-х байтов (SS:SP--, SP--, SP--, SP--) приводит к рандомному long JMP'у, то есть, это просто «бросок в никуда».

Результат непредсказуем.

UPD: Сцуко, а на стеке лежит short-адрес возврата в ОСь, оказывается... Забыл я... Так что сработает. Мля... :( :)))

>>>> потому что у каждого компилятора есть особенности, которые можно распознать.
>
>>> Есть ли подтверждение твоим словам? Ссылки, плиз.
>
>> У каждого компилятора есть свой "почерк". Примеры - использование регистров, вызов функций ОС, работа со стеком и т.п.
>
> Ты писал компиляторы?

А ты ? Очевидно, чтобы обладать подобными знаниями непременно надо писать компиляторы. Про отладку без символов, месье не слышал.

>> Разумеется, речь идет только о вероятности.
>
> Разумеется.
>
>>[censored]
>>[censored]
>> Искусство дизассемблирования К. Касперски
>
> Понятно. Сигнатуры -- они и в Африке сигнатуры.

> WATCOM C тебе знаком?

Ты это у всех спрашиваешь ?

> 010E CD 21 int 21H

[умничает]
Это ты высокий уровень применяешь. А можно через БИОС, но лучше конечно сразу через порты.