Антивирус Nod 32: Как реанимировать халявные зеркала!!

Насчет зеркал, находящихся в блэклисте. Их создатели, не спешите забрасывать свои творения! Если зеркало попало в блэклист, оно еще не потеряно. Все изложенное ниже справедливо не для тех зеркал, которые NODView показывает, как хорошие и валидные, а только для тех, которые принимает сам NOD32, на которых находятся последние валидные базы, которые не заброшены, но сами адреса их находятся в блэклисте.
Дело в том, что блэклист NODа представляет собой зашифрованную последовательность адресов, а его фильтр - простой контекстный поиск. Если изменить адрес зеркала так, чтобы оно было обозначено по-другому, но тем не менее адрес распознавался NICом, NOD его пропустит.

Существуют некоторым образом классические приемы маскирования Интернет-адресов. Остается перебрать их и выяснить, какие поддерживает NOD. Я протестировал те приемы, что работали в старых браузерах. Сразу хочу огорчить: записи адреса хексами (типа %6B%61%64%72%2E%6B%75%72%61%67%69%6E%6F%2E%72%75%2F%62%6C%69%6B) NOD не понимает, служебные символы Си, вроде \n\t\x08 фильтруются. Кстати, для списка серверов обновлений NOD применяет определенные правила. Так, он идентифицирует адрес по начальным символам http://. Если их нет, он не считает строку адресом и вставить ее в список обновления не даст. Также он проверяет, есть ли в конце символ /, а если нет, подставляет его. Это мелочи, но возможно, они кого-то на что-нибудь натолкнут.
Теперь перейдем к результатам исследования. Извращаться будем над зеркалом http://www.NOD32upd.smtp.ru/ (оно находится в блэклисте, желающие могут проверить). Это единственное зеркало, что я нашел, которое, несмотря на принадлежность к черному списку, продолжает исправно обновляться.
Из тех способов, что были испробованы, NOD понимает, корректно интерпретирует и пропускает следующие:
1. Собачка
Этот способ основан на добавлении в URL символа @. В протоколе HTTP он используется для передачи на сервер логина и пароля для доступа к запароленным местам сайта. Запрос формируется так: http://login:password@URL. Добавление же @ к обычному адресу заставляет просто игнорировать все, предшествующее ей. То есть запрос будет выглядеть следующим образом:
http://www.microsoft.com@www.NOD32upd.smtp.ru/
До собачки можно писать все, что вздумается (не забывая про начало адреса http://).
У многих (практически у всех) зеркал забанены не только имена, но и айпи-адреса. Ничего, собственно, не мешает применить собачку к ип (предварительно определив его, например, банальным ping узел):
http://www.yandex.ru@82.204.219.231/
Все это уже спокойно проходит проверку.
2. Скрытие IP-адреса.
2.1. Перевод систем счисления
По большому счету айпи – простая совокупность чисел. Так как для компьютера существует несколько систем счисления, неважно, в какой будет записан ип. Переведем группы ип в шестнадцатеричную и восьмеричную системы (первой в адресе предшествует 0х, второй - 0):
http://0xD4.0x4C.0xB4.0x0A/~gir/mirror/
http://0324.0114.0264.012/~gir/mirror/
2.2. Деструктурирование
Теперь усвойте тот факт, что переведенный ип может быть записан и без группировки с одинаковой эффективностью:
http://0xD44CB40A/~gir/mirror/
http://032423132012/~gir/mirror/
Ошибки также не произойдет, если перевести эти числа в десятичную систему счисления:
http://3561796618/~gir/mirror/
И напоследок самое интересное. К шестнадцатеричному варианту в начале можно добавить произвольное количество произвольных цифр, например
http://0x0123456789D44CB40A/~gir/mirror/
Первые 0123456789 добавлены от балды, максимально проверенная последовательность – 10 символов, а возможно, и больше.
Приведенные выше варианты можно (а иногда и нужно) смешивать между собой. Например, ссылку
http://www.microsoft.com@0x44738492734D44CB40A/~gir/mirror/
с первого раза не поймает не только NOD, но даже и не слишком опытный шифровальщик. Если какой-то вариант вдруг не сработает, нужно пробовать другой, третий, так, с некоторыми зеркалами (вроде kadr.kuragino.ru/blik/) способ 1.1 по непонятной причине не обходит блэклист.
Простой калькулятор ип-адресов (17 кб взлетным весом), чтобы не считать все вручную, можно взять здесь: http://www.NOD32upd.pop3.ru/ipconv.exe.
Удачных экспериментов!
P.S. Несмотря на все рекомендации по скрытию урлов современные браузеры не открывают почти ничего из них, только комбинации «собачка-ип» или «собачка-8ип». Сделано это во избежание эксплоитов. Таким образом, ESET просто надо повторить код браузеров, чтобы отлавливать такие ип, а это недолго. Скорее всего, первые такие ип просто попадут в блэклист, и пройдет некоторое время, прежде чем в есет просекут ситуацию и напишут фильтр.

Статься написана не мною.....
Автор: WindLord
Сайт: www.creep.ru
Вот что лично у меня получилось:
IP: 082.204.219.231
Octal: 0122.0314.0333.0347
Hex: 0x52.0xCC.0xDB.0xE7
Oct Solid: 012263155747
Hex Solid: 0x52CCDBE7
Dec Solid: 1389157351
Выбираем любой,дописываем спереди http://
И обновляемся!!!!