http://habrahabr.ru/post/168501/
где этот горе автор? помять ему бока
плевать на KS, но наезд на реверсеров не потреплю

статью на хабре закрыли)

Gideon Vi
вставил линк с кеша
--> Link <--
не работает

список всех ресурсов где было обсуждение
--> Link <--

понравилось
--> Link <--

| Сообщение посчитали полезным: Abraham

у автора есть жж http://dmitryart1985.livejournal.com/
add:
Походу обвиняемый ещё тот омич полуебок, читаем новость: http://regnum.ru/news/accidents/1621589.html
ключевой является фраза "Дмитрий Артимович написал явку с повинной вскоре после задержания."
коль руки замарал - пытается обосрать квалификацию специалистов касперского. Юристы каспера походу полные идиоты(в этом он прав) которые не в состоянии участвовать в реальных делах, вместо этого послали аналитика который раскопал истину, типа крайний нашелся.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

не ну это понятно,
но автор(dmitryart1985) статьи высмеивает
типа "невозможно восстановить из бинарника исходный код",
и невозможно сличить/оценить с какого исходного кода собран бинарник ))
ну просто лол.

| Сообщение посчитали полезным:

reversecode
диалог спецов разного уровня красноречия
спецу из ЛК явно не хватает научнопопулярного стиля изложения от чего он плывет

ему надо было говорить что такой то кусок исходника соответствует такому то куску бинаря на таком то уровне, плюс совпадение специфичных констант повышает вероятность и указывает на "подчерк" кодера

имхо в одном моменте ему нужно было говорить о идентичности до косметических инструкций генерируемых различными компилятрами

| Сообщение посчитали полезным:

да вроде всего ему там хватает, нормально отбивается парнишка))
а вот наезды автора статьи на хабре, мол все что сделал спец из ЛК невозможно - просто лол))

тогда нужно оффициально разрешать реверс инжениринг в рф, раз автор утверждает что это не возможно
и тогда автора статьи прибьют другие люди)))

| Сообщение посчитали полезным:

Очередная мерзость... Всех этих экспертов на кол давно пора.. Но сука.. еще дышат..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным: Abraham

reversecode пишет:
тогда нужно оффициально разрешать реверс инжениринг в рф, раз автор утверждает что это не возможно
и тогда автора статьи прибьют другие люди)))


ды он разрешен -- не разрешено использование его результатов в коммерческих целях

| Сообщение посчитали полезным:

Rockphorr это как ? типа как автомат калашникова? купить может кто угодно, даже младелец,
а хранить и использовать нельзя?

| Сообщение посчитали полезным:

reversecode пишет:
статью на хабре закрыли)
Но гугл то всё помнит))
reversecode пишет:
а вот наезды автора статьи на хабре, мол все что сделал спец из ЛК невозможно - просто лол))
Статью прочитал, мне кажется наезд был по существу, ибо автор прицепился к названия функций и переменным, а специалист из ЛК не мог внятно ответить в чем конкретно была схожесть. Схожесть в функционале не доказывает того, что найденный бинарник является результатом компиляции сорцов определенного ботнета. Тоже самое, если сравнивать бинарь peid с сорцами die и говорить что это один продукт.
Вот пример его наезда:
Потому что технически невозможно восстановить исполняемый файл назад в исходный код до такого уровня, что там появятся изначальные названия функций и переменных.
Камней в сторону реверсеров что-то я не увидел...

| Сообщение посчитали полезным: Nachalo

при таком подходе,
лицензии аля GNU и им подобные можно сжигать?
ведь достаточно переименовать функции и имена переменными и это будет - другая программа ?
- так получается со слов судьи и автора статьи на хабре

дословно не помню,но приблизительно так
"- експерт провел оценку и сказал что эта программа собрана с исходных текстов найденых на ПК"

и тут начинаются высмеивания експерта, со стороны судьи и притявкивание автора топика на хабре,
что мол даже спец разбырающиеся в С++ и шаблоно-мета программированию не смогут разобрать уже скомпилированый код что бы сказать с каких исходных текстов он был собран если такоевые имеются,
потому что отсутствует название функций и переменных

ну лол)) как же я иногда template то восстанавливаю?

| Сообщение посчитали полезным:

reversecode, ни кто ж не говорит, что только имена доказывают идентичность, скорее имена вообще ни чего не доказывают. Автор статьи будто тролил этими именами, а специалист не мог нормально ответить, что являлось определяющим в его заключении. Если бы он н-р сказал, мол вот в программах было найдено полное соответствие протокола обмена данными, структуры, идентичны множество алгоритмов, тут уже не отвертишься...

| Сообщение посчитали полезным:

ТС долбоёб неумеющий читать, в жж написано про то что все экспертизы проплачивались Гусевым и якобы эксперт восстановил по бинарю ИМЕНА ФУНКЦИЙ, по которым и сравнивал код. Дело не в реверсиинге, а в том что если в рашке кого-то хотят закрыть, то вопрос упирается в сумму.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

ну так никто не спорит о том что если захотят то посадЮт
но смысл выставлять експерта дураком?
если автор жж долбоеб это его проблемы,
что такое имена функций распознанные flirt-ом, вообще мало кто понимает

| Сообщение посчитали полезным:

Вся эта история попахивает говнецом, достоверной информации нет и быть не может, каждый врет в свою пользу. Не стоит копаться в грязном белье и гадать как там было.
А что правосудия и справедливости нет, уже не должно удивлять, это Россия, ёпта. И ыксперты могут написать любую херню, не только в компьютерной экспертизе, и им ничо за это не будет. Привыкайте.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: 4kusNick

Почитал я тут на досуге отрывки из высказываний эксперта-аналитика. Возьмёи, к примеру, вот это:

Возвращаясь к началу повествования поясню, что интерактивный дизассемблер Ida Pro – это специальная программа, которая предназначена для того, чтобы пускать нас внутрь другой программы. То есть раскрывать её. Частично расшифровывать её. Частично раскодировать её. Декодировать, дизассемблировать. То есть тот текст, который я получаю в этой программе, он в принципе уже гораздо больше, чем сама программа. Часть функций и имён она автоматически восстанавливает. Я убежден, что присутствующие в этом зале знакомы с этой программой. Часть восстанавливает автоматически, часть автоматически не восстанавливает, но даёт инструмент для своего пользователя, которым он может воспользоваться, написать дополнительную программу обработки и также часть функций восстановить, не функций, а имен текста. И дополнительным программным продуктом к этому программному продукту, то есть дополнительный продукт к Ida Pro, набор библиотек, который позволяет попытаться восстановить частично даже исходный код к программе, то есть мы можем там видеть куски порой, что в исходных кодах было.

Ну ёлки-палки, что он тут возил-рассусоливал, а в результате ничего грамтного с точки зрения технического специалиста не сказал.

Давайте вернёмся к истокам. Я не понял, почему тема называется "наезд на реверсеров"? По-моему, на реверсов никто не наезжает. Наезжают на одного конкретного аналитика ЛК, господина Ануфриева. Товарищ выдал экспертное заключение, на которое можно смотреть с двух разных точек зрения. Первая - техническая. Т.е. технический специалист должен, исходя из заключения, определить, как именно проводился анализ найденной угрозы, и последующая идентификация соответсвия скомпилированной угрозы имеющимся на компьютере исходным текстам. В речи специалиста я не увидел ни одного упоминания о методах выявления такого соответствия. Есть только пиар IDA Pro.

Я вполне допускаю, что обвиняемый может быть виновным. Но это нужно грамотно доказать. Позиция технического эксперта вида: "Я всё знаю, всё могу, всё определить и уверен, что тот-то и тот-то виновен" не применима.

Там всё сосут тему имен функций и переменных. Аналитик должен был сразу согласиться, что имён в ехе-шнике нет, вместо этого указать на компилятор, использовавшийся при сборке ехе, и на то, что исходный код написан так, что одельные его модули являются правильными программами с точки зрения этого компилятора. Далее указать, что в результате использования IDA Pro был восстановлен псевдокод некоторых функций, и найдено их соответствие в исходниках. Далее дать заключение, что в связи с высокой степенью наличия таких соответствий можно сделать вывод о том, что ехе - скомпиленный исходник. Потом указать, что возможно использование различных опций компилятора, различных компиляторов, в конце концов, поэтому нет смысла пытаться скомпилировать исходник, с ехе он байт в байт точно не свопадёт. Я, конечно, не самый грамотный в области аверства, но ЛК даже я смог бы грамотнее выступить в суде, чтоб лаборатория потом за меня не краснела. Ну стыдно же, право.

Конечно, я так же допускаю, что товарищ Артимович мог в своём блоге написать неправду, и аналитик ЛК не говорил ничего подобного, но как это проверить?

С точки зрения юриспруденции, аналитик - представитель сертифицированной экспертной организации, которая может однозначно установить факт причастности данного материала на ноутбуки к преступлению. Тогда одного вердикта аналитика да/нет вполне достаточно, и не имеет смысла раздувать дебаты, типа, что он делал, как он делал, если этого сообщать он не обязан. В любом случае, если аналитик нёс такую чушь, ЛК должно быть стыдно.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

да плевать кого там посадили или кого обвиняют
ARCHANGEL пишет:
Я не понял, почему тема называется "наезд на реверсеров"?
в теме были - если ты не заметил,
но диагонально в статье на хабре прослеживается высмеивания ананалитика с ЛК,
типа все что он сделал это чушь и такого вообще нельзя сделать

так же смешной момент когда там же на хабре автор показывает какие хорошие специалисты ESET которые определили что модуль вообще ничего не делает

аналитик с ЛК держался как мог в конце статьи хабре цитатой он даже ответил судье более понятными филосовскими терминами
ясное дело судья не специалист в реверсе и поэтому ему такие ответы не устраивали,
в том что ЛК не отправила юриста - это проблемы ЛК, они не интересны

| Сообщение посчитали полезным:

reversecode
Я вас что-то вообще не пойму - к чему вы клоните. Пост с хабры я не читал, т.к. доступ к публикации закрыт. А высмеивание аналитика с ЛК прослеживается в блоге очень даже не диагонально. И я не заметил, чтобы автор писал, будто:
типа все что он сделал это чушь и такого вообще нельзя сделать
Он акцентировал лишь на том, что аналитик никак не описывает, что же он сделал (в деле нет детального анализа ехе файла), и не аргументирует, как он это сделал. В то же время реверсеры с ESET установили, что это - дроппер.

Если сейчас у меня конфискуют ноут, то тоже найдут с десяток ехе, которые можно считать малварью. Но я - не автор этой малвари, и мне было бы крайне неприятно, если бы какой-то аналитик это авторство мне начал приписывать, говоря, что нашёл у меня некий код и определил, что этот сорс и есть малварь. Причём без какой-либо доказательной базы.

Если вам, reversecode, неинтересно, за что и кого хотят посадить, почему ЛК не отправила юриста, то что ж вам во всей этой истории интересно? Я нигде в блоге не видел фраз вида: "Восстановить по скомпилированному файлу исходные тексты, которые бы, компилируясь, на выходе давали идентичный по функционалу файл, НЕЛЬЗЯ". Может, вы выдели?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

а я жж не читал,но успел прочитать статью на хабре
и там это хихиканье
ARCHANGEL пишет:
"Восстановить по скомпилированному файлу исходные тексты, которые бы, компилируясь, на выходе давали идентичный по функционалу файл, НЕЛЬЗЯ"
не дословно, но увидел

насколько я помню статью на хабре,
там и не говорилось что сорс - малварь,
говорили о том что бинарник имел в себе части с сорсов которые были найдены на пк,
не беря во внимания юр моменты, не вижу ничего невозможного в том что бы установить такую подлинность бинарник имел в себе части с сорсов
но автор статьи и это высмеивает, типа это невозможно

я так вижу что плачь в ЖЖ и статья на хабре сильно отличаются раз столько разногласий
либо у меня особый взгляд

| Сообщение посчитали полезным:

имхо это судебное разбирательство информационных малварьных "барыг" -- вместо четких и лаконичных вопросов ответов -- шняга

они выпендриваются -- один наезжая а другой кидаясь понтами аля какая крутая ида про

вместо этого должен был быть четкий анализ и заключение -- то то и то соответствует, откуда исходники соответсвуют бинарю -- а у них ...

| Сообщение посчитали полезным:

я вот не пойму, они truecrypt'ом принципиально не пользовались?

| Сообщение посчитали полезным:

http://webcache.googleusercontent.com/search?q=cache:http://habrahabr.ru/post/168501/

Вставьте в первый пост, что ли.

| Сообщение посчитали полезным:

а там оказывается и продолжение было
--> Link <--

| Сообщение посчитали полезным:

лол
--> Link <--

обновил тему
дополнил новыми линками

| Сообщение посчитали полезным:

А с текстом самого экспертного заключения где-то можно ознакомиться? Если его можно увидеть, то станет понятно, что там за дела. За взятку, возможно, он ничего и не писал - сделал только то, что ему в ЛК сказали сделать. Во всяком случае - сам виноват, на суде нёс какую-то неконкретную ахинею, что теперь становится поводом усомниться в его компетенстности.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

я всё жду когда вруб гуся замочит или наоборот, но ясно одно, этонихуяне90ые йоба, очень долго и томительно тянут за яйца, где экшон?

| Сообщение посчитали полезным:

полагаю экшон будет когда в дело ввяжется сам дядя женя))
пока что он ездит на електричке между NY и DC и ему эти дела фиОлЭтовы))

ARCHANGEL пишет:
А с текстом самого экспертного заключения где-то можно ознакомиться? Если его можно увидеть, то станет понятно, что там за дела.
вот --> Link <--
взято отсюда --> Link <--

| Сообщение посчитали полезным:

http://aback.org.ua/4620-Laboratoriya-Kasperskogo-okazalas-v-tsentre-skandala-o-korruptsii-i-falsifikatsiyah-.html#to

| Сообщение посчитали полезным:

Экспертное заключение - ни о чём. Ни фрагментов дизассемлированного кода, ни листингов, ни тестов, ни описания механизмов исследования - одни голословные утверждения. Неудивительно, что дело приняло такой оборот. Представьте, если б так писались тьюторы по реверсингу. Типа, "сегодня я расскажу вам, как анпакнуть аспр. Берёте ида про - это офигенная программа. Ею анпакайте, а чё - это возможно, я вам говорю это, как специалист. Анпакал ли я? Конечно! В протекторе найдёте вм, заморфленную точку входа, порченный импорт, антидебаг и ещё некоторые трюки" И, вроде б, правда, но где доказательства? А что мешает туда дописать: " а ещё там есть драйвер и перехват исключений в ядре". Тоже похоже на правду, но уже враньё. И как отличить, где правда, где враньё. И - главное, как такие утверждения проверить?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ты предлагаешь судье показывать выдержки с IDA ?))

диме следовало самому вместо вбросов, закинуть в паблик сам бинарник и сырцы которые у него обнаружили,
а то действительно пожоже он сам сел в лужу а тепеть бегает и кричит по рунету - спасайте помогите

послистай --> Link <--

| Сообщение посчитали полезным:

reversecode
Не, ну это всё - лирика. Заключение ведь делается не для судьи, не для адвоката/прокурора, на то оно и экспертное. В любой сфере деятельности - строительстве, проектировании, нефтехимии, механике и т.д. есть понятие "экспертного заключения". Само это экспертное заключение обычно основывается на некоторой дополнительной информации - на результатах расчётов, контроля, на результатах испытаний. Эти документы либо полностью входят в экспертное заключение, либо доступны отдельно, но экспертное заключение на них ссылается. Т.е. это я к чему. Будь человек хоть трижды эксперт с нужными корочками, это подтверждающими, свой вывод он строит на базе чего-то, каких-то узкоспециализированных исследований, и они - эти исследования, должны где-то приводиться. Т.е. любой, кто будет это заключение читать, должен иметь доступ к таким документам. Вот с такими материалами я бы и хотел ознакомиться. А то, что Дима должен что-то выкладывать, исходники какие-то, бинарники, так это - правда, но только нахрена ж тогда экспертное заключение ЛК, если этими бумагами можно подтереться? Им же бабки были заплачены за это заключение, они провели работу, ну и где результат? Если б они на добровольных началах бесплатно работали без лицензии, разрешений, гарантий, договоров - тогда ок, а так - это не годится.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: