Появилась необходимость исследовать подозрительных ПО или явных malware, для выяснений "что делает" , т.е. куда что устанавливает, с каким хостом соединяется, какие данные собирает и высылает(по крайне мере должно).
Ну скажем есть явный вирус, надо выяснить что делает этот вирус. Использовать со всякими посторонними песочницами, утилитами от Руссиновича - это для любителей. А мне надо профессиональный подход, ведь современный malware шифрует трафик и сниферами ничего не узнать куда соединяется и что передается. Вот что имеется
- хорошо знаю о работе win32 платформы. (кроме API функций)
- знаю основ программирование, 2-3 года изучал делфи(паскаль), и несколько месяцев ассемблер, но из за непонимания или нехватки математических знаний бросил это дело (2-3 года назад)
- хорошо знаю сетевые технологии

Мне как бы не надо реверсинг, взлом программ, а надо именно понять что делает ПО, или нет ли в нем закладки. Сейчас плотно занимаюсь изучением крекинга именно, чтоб понять вообще скелет программ.
Ну скажу, что уже чуть-чуть соображаю, но пока сложно поддается именно арифметические алгоритмы. Просто всегда думал, что с меня программист никакой.. По этому и никогда не поддавался к подробностям. Но сейчас стоит задача разобраться в этом деле и хочется услышать ваше мнение, что стоит очень хорошо учить, а что нет.. чтоб зря не терять время. Я понимаю, что знание лишним не бывает, но все таки время сжимает, надо для начало с malware разобраться.

| Сообщение посчитали полезным:

Попробуй для начала сервисы типа anubis.iseclab.org/?action=advanced_form
Возможно этого будет достаточно, чтобы понять "что делает"

А так вообще не увидел вопроса...

| Сообщение посчитали полезным:

так в твоём случае кроме песочниц, виртуалок и утилит от Руссиновича, больше ничего не поможет особо
читать книжки и статьи про реверсинг!

-----
[nice coder and reverser]

| Сообщение посчитали полезным: spider-intruder

сами то поняли что сказали?
я же написал: надо профессиоаньлный подход, а не сервисы.
И многие вредо-коды шифрованы и не поддаются к просым нанипулясий таких сервисов. Надо человеческое вмешательство, для точной идентификации что к чему.

| Сообщение посчитали полезным:

Contrafack хах) OllyDbg, Ida в зубы и вперёд, вот это профессиональный подход.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Contrafack, тогда как сказал Hellspawn
OllyDbg, Ida в зубы и вперёд
а ещё запастись немеренным терпением, т.к. вы асма не очень хорошо знаете как я понял, поэтому вам будет сначало очень тяжко, и на каждую прогу будет уходить ни*уё*ая туча времени.

| Сообщение посчитали полезным: sivorog

OllyDbg, Ida и какой-нибудь логгер API вполне позволяют понять что делает малварь. Собственно ничем практически от реверса обычных приложений не отличается. Из алгоритмов используемых в малвари чаще всего встречается обычный XOR, шифрование перестановкой, RC2, разновидности LZ, да base64 тк являются довольно простыми

| Сообщение посчитали полезным:

Hellspawn
спасибо, Кэп! И так поятно, что мне они и нужны, на не Word или Photoshop )))
мне как бы узнать к чему учится подробнее..
и еще хотел узнать:
OllyDbg и Ida , они взаимозаменяемые?
все говорят OllyDbg - это дебаггер, а Ida - это дизассемблер. Но если можно реверсить через OllyDbg, то зачем Ida тогда?
скаживе в чем разица между ними, и чем один лучше/хуже другого?


Dart Sergius
да, это уже я понял, что много времени уйдет на это дело, но что поделать надо же как то держатся.

| Сообщение посчитали полезным:

Contrafack
Много времени - неконкретное значение. Всё здесь зависит от уровня малвари, т.е. чем упакована (упакована ли вообще), на чём написана. Да-да, код STL или VCL анализировать в дизассемблере тяжелее, чем чистый ассемблер. А если малварь реализована на C#, то это - вообще другая тема. Использует ли в своей работе компоненты уровня ядра, или работает только в UserMode. Всё это очень сильно влияет на требуемую степень подготовки аналитика. Средненький паршивенький вирь разбирается за пару дней ленивого ковыряния в коде, в то время, как сложные экземпляры могут разбираться месяцами. И, естественно, от реализации малвари зависит, что нужно учить, а на что не стоит обращать внимания. Далее нужно определиться с целью - если есть цель написать тулзу, котрая будет удалять эту малварь с зараженных компов, то это - одно дело. Если интересует именно воспроизведение функционала с целью написания аналогичного, то - это уже совсем другая песня. И сроки, конечно, тоже разные. Поэтому никто не даст вам чёткого пошагового руководства, что делать и что учить, и никто не сможет что-то гарантировать в плане успешности вашей затеи и сроков реализации.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Contrafack
купите у данилоффа ядро продукта drweb, оно емулирует работу программы, перехватывая большинство API вызовов и
статистически евристически вычисляет "а не плохая ли это программа"? и делает вердикт - вирус

вам всего навсего нужно менять слово - "вирус", на слово "плАхая программа"

| Сообщение посчитали полезным:

Contrafack а не нужно искать сложных решений, здесь они просты. OllyDbg и Ida скорее дополняют друг друга и в Ida тоже есть отладчик нельзя сказать, что лучше или хуже, лучше просто владеть всеми инструментами.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ARCHANGEL

> Средненький паршивенький вирь разбирается за пару дней ленивого ковыряния в коде, в то время, как сложные экземпляры могут разбираться месяцами.

ничего себе!!! А я думал максимум за день можно понять что к чему.
Ну все же - есть задача - надо разобратся. Так что время уже на второй план.

> Далее нужно определиться с целью - если есть цель написать тулзу, котрая будет удалять эту малварь с зараженных компов, то это - одно дело.
Ничего не надо написать. только вынести вердикт: ПО чистый, ПО легальный, но имеет "закладку"(например в файлу qip.exe клеен или переписан функцию backconnect) или просто вредоносная программа(класс malware: чернь, троян, лоадер и т.д.) и описание коротко что делает.


reversecode

Давай без флуда и троллинга.

| Сообщение посчитали полезным:

Contrafack
вот именно, без флуда.
вы хотите вручную, не имея знаний - определять(выносить вердикт), хорошая программа или плохая

разве антивирус делает не тоже самое?

| Сообщение посчитали полезным:

Contrafack
Ну знаете, не пойму, зачем это может быть нужно для практического применения. Если у вас есть множество файлов, для которых надо выносить такой вердикт, то ресёрчить каждый файл самому вручную - минимум, непроизводительно. В любом случае, знать больше сигнатур, чем антивирус, у вас не получится. Вот и будете в каждом файл ковыряться. Какое-то бесперспективное неблагодарное занятие.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Hellspawn

чисто мне , как НЕспециалиста в крекинге - кажется , что IDA более мощнее, т.к. он может хотяб открыть файлы разных платформ, чего не смог делать OllyDbg.
Но а так не знаю чем может быть полезен IDA, если есть OllyDbg.


reversecode

Вроде тут знающий, но я уже анчинаю соменватся в твои знание.
С каких пор антивирусы анализируют и выносят вердикт? Антивирус тупое ПО, который по сигнатурам прогоняет и если нет совпадений, то все ОК!
любой хакер, более менее разбирающийся в деле - обходит любой антивирус, как нефиг делать, а те, которые не разбираются - покупают криптор(или услуги) и криптуют файл. все, тоже все антивирусы молчат.
Так что сам может покупать у Данилова ядро и проверится там.
Теперь понял, что флудишь или троллишь не замечая этого?


ARCHANGEL

нет, я не собираюь анализировать все что попало. просто бывает необходимость убедится в "порядочностях" некоторых утилит ну или поймая malware(), разобратся что он делает, куда соединяется, какие данные передает - в целях усилиях защиты и контрмеры.
Антивирус - это для домохозяек.. 3 года назад когда тестировал PINCH, мне криптовали бесплатно (в тестовых целях), проверил на вирус-тотале и никакой антивир не распознавал это , как троян После этого не доверяю антивирусам.
Просто работаю в отделе ИБ, и время от времени надо проанализировать какие то ПО. Раньше за деньги "фрилансеры" делали это, а сейчас руководство это дело "переводит" на меня... типа кризис, денег нефиг раздавать фрилансерам, еще и типа некоторые ПО могут содержать какие то конфиденциальные данные... короче мне надо заниматся этим

| Сообщение посчитали полезным:

Contrafack
месье специалист в работе ядра drweb? клерк детектед

| Сообщение посчитали полезным: DimitarSerg

Contrafack пишет:
Антивирус тупое ПО, который по сигнатурам прогоняет и если нет совпадений, то все ОК!
любой хакер, более менее разбирающийся в деле - обходит любой антивирус, как нефиг делать

Не согласен. Да, есть простые техники, как обойти эмулятор и эвристику, т.е. их реализация в разы проще, чем написание такого вот, пусть и дырявого, но эмулятора. Однако если есть желание развить эту тему, то пишите в личку, ибо это - уже не совсем тематика форума.

Касаемо вашей проблемы - то, мне кажется, что выходом было бы написание приватной песочницы. Так бы закинули в неё подозрительный софт, и смотрели бы: если обратился к данным (вордовским документам, сапровским чертежам, таблицам экселевским, ну, не знаю, как у вас коммерческая информация на рабочем месте хранится), то понятно, что тырит важные документы. Если начал пытаться все ехе файлы править - то файловый вирус. Если свой дров пытается загрузить, то тоже подозрительно. Вот и будете оценивать, плохой или хороший софт вы запускаете.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

reversecode
ARCHANGEL
Я вот вас непонимаю, что вы хотите объясниить человеку, который непонимает даже конструкцию типа Contrafack пишет:
например команды непонятные(CMP BYTE PTR , SHR), значение А1..

Contrafack пишет:
Мне явно не хватает знаний команд

Contrafack пишет:
OKOB да не, я программирование очень плохо знаю.
И это все было вчера(!!!)
А сегодня тип хочет реверсить малварь есчо и
Contrafack пишет:
мне надо профессиональный подход

Contrafack
может уже пора что то почитать, того же Нарваху? а?

| Сообщение посчитали полезным:

SReg
ну а что? за вечер нельзя 3 команды ассемблера что ли выучить?

| Сообщение посчитали полезным:

reversecode

отстань уже со своим dr. web_ом. Или тут надо оскорблять, чтоб дошло ? (новичок на форуме, не в курсе местных традиций)


ARCHANGEL

> Однако если есть желание развить эту тему, то пишите в личку, ибо это - уже не совсем тематика форума.
тут не очень понял - о каком теме ? дополнение для антивирусов, типа эвристики?

> Касаемо вашей проблемы - то, мне кажется, что выходом было бы написание приватной песочницы. Так бы закинули в неё подозрительный софт, и смотрели бы
ну идея не плохая, но опять таки мне не выделят для начало деньги для этой проги, а сам хрен смогу написать такое ПО
> Вот и будете оценивать, плохой или хороший софт вы запускаете.
мой опыт показывает, что не все так просто. сейчас очень популярны стали ботнеты, RAT технологии, а они все используют clint<>server архитектуру, с возможностью backconnect.
И тут не будет видно ничего и все ваши старание увидеть что то типа вордовским документам, сапровским чертежам, таблицам экселевским, ну, не знаю, как у вас коммерческая информация на рабочем месте хранится не дадут никакого результата, т.к. они сами соединяются с командным центром и ждут команд для выполнения на компьютере жертве , ну и при этом следят за браузером, стырят формы заполнения, сохранение пароли или по запросу что надо. Тоже нельзя определить подручными средствами.
Ладно, представим ситуацию: антивирус показал, что данное ПО является троян/backdoor, и задача: выяснить куда подключатся(минимум требование). понимайте, тут уже никакой самый мощный сниффер не сможет справится с задачей. проверен лично, к сожалению wireshark не видит трафик даже от прошлогоднего RAT_а трафик шифруется... + некоторые вредители высылают авторизационные данные. Тоже не плохо было бы вытащить. Но увы, без вскрытие ничего не получится, трафик шифрован полностью.


SReg

не умничай, и тип не хочет ничего реверснуть, тип хочет понять что к чему. Если не знаешь, то скажу, что это разные вещи.

| Сообщение посчитали полезным:

Contrafack
Это троллинг?
Contrafack пишет:
Антивирус тупое ПО, который по сигнатурам прогоняет и если нет совпадений
А слово эвристика знакома? Или такое выражение как поведенческий анализ?

Contrafack пишет:
например команды непонятные(CMP BYTE PTR , SHR), значение А1..
Может со временем пойму, или надо что то читать?
Мне кажется что вбить в гугл название команды и прочитать в инете её описание, было бы гораздо быстрее чем печатать ваше сообщение

Contrafack пишет:
не умничай, и тип не хочет ничего реверснуть, тип хочет понять что к чему. Если не знаешь, то скажу, что это разные вещи.
А как ты поймёшь что делает вирус, не отреверсив его?

Интересный подход. Ты тратишь драгоценное время на осмысление кода вместо того чтобы прочитать какой нибудь мануал с кратким описанием. Этакий садомазохизм.
И надо быть очень самоуверенным человеком чтобы прийти на сайт, спрашивать у участников форума совет, параллельно оспаривать вполне адекватные советы и достаточно вызывающе хамить.

Мне кажется что чел хочет изучать функциональную часть вируса для его повторения.
Можешь начинать пениться

-----
Research For Food

| Сообщение посчитали полезным:

daFix

> А слово эвристика знакома? Или такое выражение как поведенческий анализ?
больше , чем знакомы, и что? хочешь сказать, что преложение, который имеет заранее придуманные ходы - может точно или всегда определить что к чему. Пока нет да и не будет такого, пока не будет нейронные сети на уровне мозга человека, и т.к. до этого еще ждать и ждать, то я предпочитаю ручную осмотреть , чем доверять автоматики.
> Интересный подход. Ты тратишь драгоценное время на осмысление кода вместо того чтобы прочитать какой нибудь мануал с кратким описанием. Этакий садомазохизм.
подход вполне обоснованный. зачем например (еще раз повторяю, НАПРИМЕР) изучат С# или ассемблер, если мне достаточно изучать неколько команд из ассемблера и API функции WIN32? понятно для чего все это?
> параллельно оспаривать вполне адекватные советы и достаточно вызывающе хамить.
слушай, уважаемый, не надо провокации. Во первых я лично тут не хамил, а если даже кому-то хамил, то обоснованно это делал. Нефиг флудить или троллить в моем теме. я же не сую нос ваши темы и пишу ерунду, вот и не надо тут свои тупости высказать.

| Сообщение посчитали полезным:

"Вроде тут знающий, но я уже анчинаю соменватся в твои знание."

Знакомый стиль... Дело пахнет clerk'oм...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: hlmadip

> Знакомый стиль... Дело пахнет clerk'oм...
это что или кто ?

> месье специалист в работе ядра drweb? клерк детектед
ага, вот в чем дело.. я как понял меня путают с кем то? какого то человека с связью с Dr.WEB ?
значит разочарую вас , я никогда не имел дело с dr.web, даже не установил что то для пробы.

| Сообщение посчитали полезным:

Contrafack пишет:
С каких пор антивирусы анализируют и выносят вердикт?

Contrafack пишет:
> А слово эвристика знакома? Или такое выражение как поведенческий анализ?
больше , чем знакомы, и что?

Если тебе знакомы эти технологии, то почему же в сообщении reversecode'у ты отрицаешь само действие анализа?

я же не сую нос ваши темы и пишу ерунду
Прочитал твои сообщения и вспомнилась отличная цитата с башорга

‹bLena› она мне тож один раз говорит мы короче видела с девчёнкой
постояно ходим с Анькой?
‹Punk-Grunger› Я написал php-сервер, который работает в связке с
c#-приложением. Все это завязано на OpenSSL, причем юзал RSA
алгоритм (открытый, закрытый ключ). Причем контрольно я файло,
которое течет между этим всем делом я прогоняю через Rijndael.
Но эта вся защита - хуйня по сравнению с твоим предложением.

Я вообще к чему веду разговор - не надо хамить людям и стоит больше к ним прислушиваться, если уж спрашиваешь у них совета

plutos
Не, у Клерка хоть со знанием русского языка не было проблем

-----
Research For Food

| Сообщение посчитали полезным: SReg, tihiy_grom

daFix пишет:
Не, у Клерка хоть со знанием русского языка не было проблем
У трезвого да...Просто он над вами прикалывается.

| Сообщение посчитали полезным:

Прочитав все посты выше пришел к выводу - топикстартер мент.
Человек интересующейся "профессионально" содержанием чужих программ, но при этом имея поверхностные знания даже в программировании, такой самоуверенностью в собственных способностях
обладают люди в серых "халатах".
Да и стиль общения выдает)
Модерам: Закрывайте топ. Разговоры не о чем, флуд...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным: neomant, yagello, SReg

Флудотоп детектед. Человек не разбирается в программировании, не имеет знаний асма, не хочет ничего реверсить, слабо знает русский, не прислушивается к советам и при всём этом таки хочет ПРОФЕССИОНАЛЬНО изучать работу ПО... Топик в топку.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным: SReg, Dart Raiden

Собрались "мозги" форума )))) один "умнее" другого. Зачем менту реверс или у тебя воображения только на это хватает? знаешь, иногда лучше молчать, чем говорить, даже некоторые тыпые молчат, чтоб себе не выдать, у них находятся столько ума, чтоб это сообразить, а то ты тут вижу разошелся.

МОДЕРАТОРАМ: не тему закрыть, а идиотов , чтоб не флудили и тему не превратили в помойку.

| Сообщение посчитали полезным:

забанят тебя ...

| Сообщение посчитали полезным: