Конечно как решит общественность, но мне кажется было бы полезно завести отдельную тему, посвященную интерсным случаям анализа и RE вредоносных программ. Так оно всегда было бы в одном месте и любой интересующийся данной темой мог бы легдо найти что-то для себя.
Вношу для почина:
--> Analysing ISFB – The First Loader<--

PS Может быть "Протекторы" не совсем подходящее место для данной темы, так это на усмотрение модераторов.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Gideon Vi

KristinaCS L 1.2
никто не разбирал ?

| Сообщение посчитали полезным:

plutos пишет:
PS Может быть "Протекторы"
Вникуда !

Я в этой теме варюсь уже несколько лет, есть специализированные чаны/конфы людей, которые конкретно на малваре анализ нацелены, где таких ссылок по 5 в день, на разные разборы разных авторов, в твиттере инфы валом, не превращайте форум в свалку.

-----
ds

| Сообщение посчитали полезным: dosprog

[i]DimitarSerg пишет:
на малваре анализ нацелены

хм врёте никто от а до я не разбирает, в интернетах разбор поверхностный \
например червь добавляет тело пишет в темп и заражает все ехе. как и что подробный листинг загрузчика никто не описывает оно никому не нужно )

| Сообщение посчитали полезным:

SDK пишет:
никто от а до я не разбирает, в интернетах разбор поверхностный
Как говорили мои коллеги в свое время, "все зависит от полноты налитого стакана". Если людей правильно замотивировать, то они этих червей на молекулы разложат и к каждой молекуле по десять томов документации напишут. А в массовом варианте это действительно никому не нужно.

| Сообщение посчитали полезным: dosprog

SDK
А вы новичек, чтобы от а до я вам разжевывать ?

Как минимум блоги от ТрендМайкро, Есета, Чекпойнт почитайте, есть много хороших разборов.
От а до я разбирают либо для портфолио/репутации либо ... [подставьте свой вариант ]

Добавлено спустя 1 минуту
ManHunter пишет:
А в массовом варианте это действительно никому не нужно.
Вот именно !

-----
ds

| Сообщение посчитали полезным:

SDK пишет:
например червь добавляет тело пишет в темп и заражает все ехе. как и что подробный листинг загрузчика никто не описывает оно никому не нужно )
зачем афешировать то что потом будет использовать прищавый школьник в своих поделках......

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ManHunter пишет:
в свое время
откройте любой старый журнал например радио там сожрали бы если одну ошибку найдут или не всё описано
цель таких публикаций чтоб понимал любой а не (ну ты всё понял ну ты в натуре ) был такой зомби он ав расчехлял - да был злодей и использовать его публикации можно в целях не добрых .

а червь вот попался недавно пинфи он же Parite2 полного его разбора нет

| Сообщение посчитали полезным:

SDK пишет:
цель таких публикаций чтоб понимал любой
Чтоб понимал любой, надо показывать на картохах как чапай, или просто громко хрюкать, как некоторые ав делают. Большинству никакие детали не интересны, а для совсем немногочисленной публики энтомологов-любителей никому ничего делать неохота.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Малварь интересно разбирать. В отличии от очередных калькуляторов за 19.99 (или что там люди реверсят), там всегда какие-то инновационные идеи, обфускация, анти-дебаг.

| Сообщение посчитали полезным:

f13nd такие специалисты на ютюбе сидят говорят много толку нет.
поэтому хорошие журналы в которых были идеи и закрылись или скотились в г.
morgot пишет:
Малварь интересно разбирать. В отличии от очередных калькуляторов за 19.99 (или что там люди реверсят), там всегда какие-то инновационные идеи, обфускация, анти-дебаг.

верно если вы почитаете полный разбор какой то программы вирусной то сможете применить их например в полезных белых целях например антиотладке своего по например остановка жёсткого диска или шифровка всего диска при обноружении что программу изучают)

| Сообщение посчитали полезным:

SDK пишет:
своего по например остановка жёсткого диска или шифровка всего диска при обноружении что программу изучают)
убить комп или нашкодить это школьные идеи вот если бы в софт встроить скрытый майнер или стиллер паролей, которые бы срабатывали во взломанной или пиратской версии, было бы куда интереснее и профитнее
а вообще, кроме пугалок и ограничения своего функционала или блокировки софта ничего не должно быть вредоносного и деструктивного - авторы попадают под статью, хотя в некоторых странах законы разные, и софт с деструктивным кодом все же может встречаться.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Kindly пишет:
вот если бы в софт встроить скрытый майнер или стиллер паролей, которые бы срабатывали во взломанной или пиратской версии, было бы куда интереснее
Была бы статья 227 и возмещение ущерба пострадавшим. Не важно что версия пиратская, главное что программа то твоя, официально, и вредоносный функционал туда вставил тоже ты, имея умысел.

Это так, временные жизненные проблемы. К ним плюсуется потеря репутации навсегда. Лицензионную версию осторожные люди уже не купят. И другие твои программы тоже не купят, ибо история гуглится.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: dosprog

ntldr пишет:
Была бы статья 227 и возмещение ущерба пострадавшим.
да, я в курсе этого, дополнил пост выше, чтоб другие знали

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

ClockMan

> зачем афешировать то что потом будет использовать прищавый школьник в своих поделках.

Для этого используется защита в виде не предоставления инфы для сборки. К примеру описывается техника, алгоритмы и важные нюансы, но опускаются мелкие детали, которые необходимо знать для самостоятельной реализации. Или например не даётся билд, который можно просто взять и собрать. Это всегда эффективно работало - у кого скилл соответствующий вопросов не задают, а школьники отпадают сами собой.

-----
vx

| Сообщение посчитали полезным: DimitarSerg, SDK

Чтобы прыщавый школьник не утащил prof of concept код в свою поделку, попробуйте написать его в стиле hardcore C++ с обильным применением BOOST, constexpr's, variadic templates и lvalue references на каждом шагу. Чтобы этот код собирался только в GCC и больше ни в чём. А бинарник после сборки - метров на 80 (юзайте на каждый чих по две специальные либы). Короче говоря - чем хуже тем лучше. Пишите ужасный, никуда не годный код, лишь бы он работал в одном вашем конкретном примере.

Отковырять от такого ужаса нужный функционал - школьнику сложнее чем самому выучить мат. часть и написть с ноля.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

morgot

> там всегда какие-то инновационные идеи

Там всё заточено на обходы детектов. Основной интерес там был по обходу виртуальной машины ав и скана памяти. После того как ключевой принцип был описан, это перестало быть кому то интересным.

-----
vx

| Сообщение посчитали полезным:

Kindly пишет:
это школьные идеи вот если бы в софт встроить скрытый майнер
вот как раз наоборот школьники пихают в всевозможные онлайн читы майнер и подсовывают на форумах
и школьники вообще не интересуются антиотладкой они интересуются как подсунуть комету собрать архив паролей
и продать его вот такие сейчас школьники ни чести ни совести

Добавлено спустя 1 час 1 минуту
plutos раз тема анализ малвари скинь сылку на архив каких нибудь вирусов 2000-2010-го
хоть поизучаем на уик-эндах

| Сообщение посчитали полезным:

SDK

Можешь реальный пример посмотреть. Все искали решение по скану памяти. Особенно на факав(там эта вредоносная примитивная малварь активно разрабатывалась, блэк ресурс). После подробного описания техники никто так и не смог реализовать на сколько мне известно. Суть понятна, но им скилл не позволяет идею в код заложить. Это идеальная защита от дурака". Они видят, но не могут дотронуться, не позволяет уровень знаний. А если бы я выложил рабочий билд, то это создало бы большие проблемы всем, не только ав.

-----
vx

| Сообщение посчитали полезным:

difexacaw вирусописатели и школьники спрашивали про способы скрытия чита-вируса не посредственно в памяти от сканеров я придумал клиентсерверный делитель с взаимным исключением
то есть запускается два приложения в память и идёт передача информации между приложениями через мутекс + можно куски сделать на нет и ява

| Сообщение посчитали полезным:

DimitarSerg пишет:
Вникуда !
общественность свое слово сказала. Похоже что мы с Гидеоном в абсолютном меньшинстве.
Что бы никого не нервировать и не давать лишних поводов для склок тему закрываю.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: