Сейчас на форуме: vsv1, NIKOLA, r0lka, johnniewalker (+3 невидимых)

 eXeL@B —› Крэки, обсуждения —› Malware Analysis
Посл.ответ Сообщение


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 15 марта 2019 07:04 · Поправил: plutos
· Личное сообщение · #1

Конечно как решит общественность, но мне кажется было бы полезно завести отдельную тему, посвященную интерсным случаям анализа и RE вредоносных программ. Так оно всегда было бы в одном месте и любой интересующийся данной темой мог бы легдо найти что-то для себя.
Вношу для почина:
--> Analysing ISFB – The First Loader<--

PS Может быть "Протекторы" не совсем подходящее место для данной темы, так это на усмотрение модераторов.

-----
Give me a HANDLE and I will move the Earth.


| Сообщение посчитали полезным: Gideon Vi

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 15 марта 2019 09:35
· Личное сообщение · #2

KristinaCS L 1.2
никто не разбирал ?




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 15 марта 2019 10:54
· Личное сообщение · #3

plutos пишет:
PS Может быть "Протекторы"

Вникуда !

Я в этой теме варюсь уже несколько лет, есть специализированные чаны/конфы людей, которые конкретно на малваре анализ нацелены, где таких ссылок по 5 в день, на разные разборы разных авторов, в твиттере инфы валом, не превращайте форум в свалку.

-----
ds


| Сообщение посчитали полезным: dosprog

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 15 марта 2019 11:41
· Личное сообщение · #4

[i]DimitarSerg пишет:
на малваре анализ нацелены

хм врёте никто от а до я не разбирает, в интернетах разбор поверхностный \
например червь добавляет тело пишет в темп и заражает все ехе. как и что подробный листинг загрузчика никто не описывает оно никому не нужно )




Ранг: 104.9 (ветеран), 46thx
Активность: 0.040.02
Статус: Участник

Создано: 15 марта 2019 12:19
· Личное сообщение · #5

SDK пишет:
никто от а до я не разбирает, в интернетах разбор поверхностный

Как говорили мои коллеги в свое время, "все зависит от полноты налитого стакана". Если людей правильно замотивировать, то они этих червей на молекулы разложат и к каждой молекуле по десять томов документации напишут. А в массовом варианте это действительно никому не нужно.

| Сообщение посчитали полезным: dosprog


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 15 марта 2019 12:20
· Личное сообщение · #6

SDK
А вы новичек, чтобы от а до я вам разжевывать ?

Как минимум блоги от ТрендМайкро, Есета, Чекпойнт почитайте, есть много хороших разборов.
От а до я разбирают либо для портфолио/репутации либо ... [подставьте свой вариант ]

Добавлено спустя 1 минуту
ManHunter пишет:
А в массовом варианте это действительно никому не нужно.

Вот именно !

-----
ds





Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 15 марта 2019 13:39
· Личное сообщение · #7

SDK пишет:
например червь добавляет тело пишет в темп и заражает все ехе. как и что подробный листинг загрузчика никто не описывает оно никому не нужно )

зачем афешировать то что потом будет использовать прищавый школьник в своих поделках......

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 15 марта 2019 16:15
· Личное сообщение · #8

ManHunter пишет:
в свое время

откройте любой старый журнал например радио там сожрали бы если одну ошибку найдут или не всё описано
цель таких публикаций чтоб понимал любой а не (ну ты всё понял ну ты в натуре ) был такой зомби он ав расчехлял - да был злодей и использовать его публикации можно в целях не добрых .

а червь вот попался недавно пинфи он же Parite2 полного его разбора нет




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 15 марта 2019 16:23
· Личное сообщение · #9

SDK пишет:
цель таких публикаций чтоб понимал любой

Чтоб понимал любой, надо показывать на картохах как чапай, или просто громко хрюкать, как некоторые ав делают. Большинству никакие детали не интересны, а для совсем немногочисленной публики энтомологов-любителей никому ничего делать неохота.

-----
2 оттенка серого





Ранг: 69.9 (постоянный), 82thx
Активность: 0.140.73
Статус: Участник

Создано: 15 марта 2019 16:23
· Личное сообщение · #10

Малварь интересно разбирать. В отличии от очередных калькуляторов за 19.99 (или что там люди реверсят), там всегда какие-то инновационные идеи, обфускация, анти-дебаг.



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 15 марта 2019 17:28
· Личное сообщение · #11

f13nd такие специалисты на ютюбе сидят говорят много толку нет.
поэтому хорошие журналы в которых были идеи и закрылись или скотились в г.
morgot пишет:
Малварь интересно разбирать. В отличии от очередных калькуляторов за 19.99 (или что там люди реверсят), там всегда какие-то инновационные идеи, обфускация, анти-дебаг.

верно если вы почитаете полный разбор какой то программы вирусной то сможете применить их например в полезных белых целях например антиотладке своего по например остановка жёсткого диска или шифровка всего диска при обноружении что программу изучают)




Ранг: 275.9 (наставник), 340thx
Активность: 0.22=0.22
Статус: Участник
RBC

Создано: 15 марта 2019 18:00 · Поправил: Kindly
· Личное сообщение · #12

SDK пишет:
своего по например остановка жёсткого диска или шифровка всего диска при обноружении что программу изучают)

убить комп или нашкодить это школьные идеи вот если бы в софт встроить скрытый майнер или стиллер паролей, которые бы срабатывали во взломанной или пиратской версии, было бы куда интереснее и профитнее
а вообще, кроме пугалок и ограничения своего функционала или блокировки софта ничего не должно быть вредоносного и деструктивного - авторы попадают под статью, хотя в некоторых странах законы разные, и софт с деструктивным кодом все же может встречаться.

-----
Array[Login..Logout] of Life




Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

Создано: 15 марта 2019 18:13 · Поправил: ntldr
· Личное сообщение · #13

Kindly пишет:
вот если бы в софт встроить скрытый майнер или стиллер паролей, которые бы срабатывали во взломанной или пиратской версии, было бы куда интереснее

Была бы статья 227 и возмещение ущерба пострадавшим. Не важно что версия пиратская, главное что программа то твоя, официально, и вредоносный функционал туда вставил тоже ты, имея умысел.

Это так, временные жизненные проблемы. К ним плюсуется потеря репутации навсегда. Лицензионную версию осторожные люди уже не купят. И другие твои программы тоже не купят, ибо история гуглится.

-----
PGP key <0x1B6A24550F33E44A>


| Сообщение посчитали полезным: dosprog


Ранг: 275.9 (наставник), 340thx
Активность: 0.22=0.22
Статус: Участник
RBC

Создано: 15 марта 2019 18:18
· Личное сообщение · #14

ntldr пишет:
Была бы статья 227 и возмещение ущерба пострадавшим.

да, я в курсе этого, дополнил пост выше, чтоб другие знали

-----
Array[Login..Logout] of Life





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 15 марта 2019 18:34 · Поправил: difexacaw
· Личное сообщение · #15

ClockMan

> зачем афешировать то что потом будет использовать прищавый школьник в своих поделках.

Для этого используется защита в виде не предоставления инфы для сборки. К примеру описывается техника, алгоритмы и важные нюансы, но опускаются мелкие детали, которые необходимо знать для самостоятельной реализации. Или например не даётся билд, который можно просто взять и собрать. Это всегда эффективно работало - у кого скилл соответствующий вопросов не задают, а школьники отпадают сами собой.

-----
vx


| Сообщение посчитали полезным: DimitarSerg, SDK

Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

Создано: 15 марта 2019 18:43 · Поправил: ntldr
· Личное сообщение · #16

Чтобы прыщавый школьник не утащил prof of concept код в свою поделку, попробуйте написать его в стиле hardcore C++ с обильным применением BOOST, constexpr's, variadic templates и lvalue references на каждом шагу. Чтобы этот код собирался только в GCC и больше ни в чём. А бинарник после сборки - метров на 80 (юзайте на каждый чих по две специальные либы). Короче говоря - чем хуже тем лучше. Пишите ужасный, никуда не годный код, лишь бы он работал в одном вашем конкретном примере.

Отковырять от такого ужаса нужный функционал - школьнику сложнее чем самому выучить мат. часть и написть с ноля.

-----
PGP key <0x1B6A24550F33E44A>





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 15 марта 2019 18:45
· Личное сообщение · #17

morgot

> там всегда какие-то инновационные идеи

Там всё заточено на обходы детектов. Основной интерес там был по обходу виртуальной машины ав и скана памяти. После того как ключевой принцип был описан, это перестало быть кому то интересным.

-----
vx




Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 15 марта 2019 20:25
· Личное сообщение · #18

Kindly пишет:
это школьные идеи вот если бы в софт встроить скрытый майнер

вот как раз наоборот школьники пихают в всевозможные онлайн читы майнер и подсовывают на форумах
и школьники вообще не интересуются антиотладкой они интересуются как подсунуть комету собрать архив паролей
и продать его вот такие сейчас школьники ни чести ни совести

Добавлено спустя 1 час 1 минуту
plutos раз тема анализ малвари скинь сылку на архив каких нибудь вирусов 2000-2010-го
хоть поизучаем на уик-эндах




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 15 марта 2019 21:30
· Личное сообщение · #19

SDK

Можешь реальный пример посмотреть. Все искали решение по скану памяти. Особенно на факав(там эта вредоносная примитивная малварь активно разрабатывалась, блэк ресурс). После подробного описания техники никто так и не смог реализовать на сколько мне известно. Суть понятна, но им скилл не позволяет идею в код заложить. Это идеальная защита от дурака". Они видят, но не могут дотронуться, не позволяет уровень знаний. А если бы я выложил рабочий билд, то это создало бы большие проблемы всем, не только ав.

-----
vx




Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 15 марта 2019 23:30
· Личное сообщение · #20

difexacaw вирусописатели и школьники спрашивали про способы скрытия чита-вируса не посредственно в памяти от сканеров я придумал клиентсерверный делитель с взаимным исключением
то есть запускается два приложения в память и идёт передача информации между приложениями через мутекс + можно куски сделать на нет и ява




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 15 марта 2019 23:49
· Личное сообщение · #21

DimitarSerg пишет:
Вникуда !

общественность свое слово сказала. Похоже что мы с Гидеоном в абсолютном меньшинстве.
Что бы никого не нервировать и не давать лишних поводов для склок тему закрываю.

-----
Give me a HANDLE and I will move the Earth.



 eXeL@B —› Крэки, обсуждения —› Malware Analysis
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати