Бродил по вконтакте и натолкнулся на такое --> Видео <--

Здесь ребята рассказывают о том, что они анализировали известную малварь под названием Flamer. Я не знаю, может, я последнее время предвзято отношусь к людям, но меня это видео очень поразило. Поразило оно меня тем, что... ну... ну это ж хрень вообще какая-то, а не выступление. Объясню по пунктам:

1. На дворе (тогда был) 2012 год, а они рассказывают, как нереально трудно реверсить С++ код, когда его много. Ёлы-палы, да ладно! А ребят не смущает, что сейчас в любом приличном коммерческом софте применяются паттерны, виртуальные функции, я уже молчу про кастомные объекты с их конструкторами и деструкторами. Половина видео повествует о том, как чувакам было тяжело, но при этом никто не удивляется, что ж им так утяжелило жизнь. А то, что сейчас даже игровые сервера эмулируют благодаря реверсингу клиентов, так это норм. Не верите? Тогда впишите в гугл строку StarCraft II - Wings of liberty.
2. Ну, допустим, тяжело, ну, предположим, 3,5 месяца реверсили код. А нахрена? Что в конечном итоге было достигнуто? Какие теперь есть методики для обнаружения и удаления флеймера? Проскакивала такая фраза, что сигнатурный анализ не подходит, так а что подходит - где ответы, я ведь не думаю, что ребята сидели 3,5 месяца, хавали нодовские бабки и бесцельно реверсили флейм. Они, что, такой же флеймер хотели написать?
3. Меня поражает высказывание ребят о том, что, дескать, тут можно опции компилятора поменять, и флеймер сразу преобразиться, его код изменится и не надо никаких пакеров и вм. Да любой код изменится, если компилить его с разными опциями компилятора, на то они и разные опции, чтоб давать разный код, что тут удивительного?
4. Или заявление, что инструментов для анализа таких больших и сложных проектов нет. Я всё ждал, что ж в конце покажут, как ребята вышли из этой ситуации? А вышли они из неё легко, обучившись давить F5 в IDA Pro (именно это действия запускает Hex-Rays на декомпиляцию текущей функции). Долго ж, видимо, надо было думать над этим.
5. Но больше всего меня удивил вопрос некоего слушателя в конце - "а кто написал флеймер?". Да какая, нахрен, разница? Неужели никого не интересует тот факт, что чуваки выступали 45 минут, при этом не освятив ни одного механизма внедрения флеймера в ОС, ни одного механизма сокрытия, передачи данных, обнаружения антивирусов и т.д. Дальше словоблудия дело не пошло. Где обзор реального кода, чтоб было так. Типа, вот перед вами дизасм кода, этот код во флеймере определяет, подключено ли Bluetooth устройство к данному пк, за это отвечает функция такая-то и такая-то, она использует АПИ такие-то. Или говорить конкретно сейчас не в моде?

В итоге имеем двух человек, которые называют себя аналитиками (один из них - аналитик особо сложных угроз, про второго в видео ничего не говорится), занявшими 45 минут времени у людей, которые не сказки пришли послушать, и в результате не продемонстрировали толком ничего, кроме картинок меняющего позы робота. Это выступление надо было назвать "Киборг. Фотосет". Кто что скажет по этому поводу?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

а есть флеймер на паблике? дайте скачать
хочу глянуть на кастомный сборщик мусора и кастомный вектор

ps

v2 = this;
(this->vTable->CheckVectLimits)(a2, unk_1033a236);
return (v2->vector + a2 *4);

смапить v2 в this и установить тип int * для vector что бы получилось

(this->vTable->CheckVectLimits)(a2,)
return (this->vector[a2]);

не смогли что ли или новый рейс со времен утечки больше для есетовцев недоступен?

| Сообщение посчитали полезным:

ну это же доклад))) так и должно быть куча воды и красивых картинок.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Что доклад - согласен. Но каждый доклад должен содержать выводы. А какие там выводы? Картинка, где их робот сидит в задумчивой позе?

reversecode
Ещё меня в видео смутило, как второй выступавший говорит, что, типа, они взяли Hex-Rays и "доработали его", чтоб он лучше объектно-ориентированный код анализировал. Так что это чуваки ещё улучшили. Вот непойму, почему про доработку ничего не говорится. Ильфак, что, сорцы открыл или это есетовцы занимаются вот --> Этим <--?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

времени пока нет все посмотреть, я пролистал... какая это минута?
скорее всего они написали плагин для рейса, который чегото улучшает, SDK ведь для рейса не зря существует

ps
http://amatrosov.blogspot.ru/2012/08/flame.html
В процессе статического анализа бывает сложно установить однозначное соответствие со значением в VTABLE и указателем VPTR. Для того, чтобы упростить себе жизнь в процессе статического анализа мы прибегаем к ухищрению и эмулируем конструкции С++ при помощи определения структур. Этот метод хорошо описан в статье "Reversing C++ programs with IDA pro and Hex-rays".
ясно вообщем))

http://amatrosov.blogspot.ru/2012/11/win32flamer-reverse-engineering-and.html#more
52 страница pdf
офигительная схожесть!)) у меня cstring тоже похоже выглядит ))) и что?

| Сообщение посчитали полезным:

reversecode пишет:
скорее всего они написали плагин для рейса, который чегото улучшает, SDK ведь для рейса не зря существует

Может быть, но почему-то про это ничего не говорится. Последнее время антивирусные отчёты и анализ стал больше походить на рекламу, типа, смотрите, какие мы крутые. Никаких технических деталей. А ведь на ZeroNights съезжаются не директора контор, которые хотят побухать и сказки послушать.

какая это минута?
29 мин 30 сек - 29 мин 50 сек.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Если бы вы еще 7тыщ рублей за вход заплатили, представляю каково бы было ваше негодование.

| Сообщение посчитали полезным:

туда восновном приходят познакомится, потому и дерут денег
7 это как то вообще мало ..

| Сообщение посчитали полезным:

reversecode
Познакомиться с кем? Там есть тёлочки девочки?

bbuc
Я так понимаю - этот доклад был не единственный на конференции. Там могли быть и достойные, я все не пересамтривал. Но 7 тыс. за такое, это, конечно, ни в какие ворота. Что-то вендоров антивирусных понесло: то Каспер выставит своего аналитика, который на суде мелет про переводы текста на разные языки, то аналитики особо сложных угроз жалуются, что код на с++ трудный. А я думаю - что за херня, почему нод половину пакеров и протов с вм (тот же впрот) палит, даже если софт, ими упакованный, вполне нормальный. А ответ вот где - код на с++ слишком сложный. Тогда какой же невероятно сложный код вмпрота. Адски сложный для аналитиков есета.

А так - я бы съездил на это мероприятие в 2013. Интересно, а оттуда могут вывести, если слишком много разговаривать? Что-то гугл не говорит, где и когда это мероприятие проводится в 2013.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Познакомиться с кем? Там есть тёлочки девочки?
с серьезными людьми типа тех аналитиков

а вообще устраиваются на работу светятся на публике итд, все стандартно

| Сообщение посчитали полезным:

Сейчас очень модно заниматься самопиаром на всякой х*йне, первыми фишку просекли в Каспере - ведь зарубежная ЦА как-то стремно реагирует на обычные "интернет-апокалипсисы" в стиле Жени, который он так привык продвигать в СНГ. А рынок заполнен и расти уже практически некуда. Плюс началось сильное давление со стороны бесплатников. Поэтому чтобы хоть как-то продвигать свое бесполезное ПО нужно быть в тренде и уметь извлекать профит из него. Тренд уже несколько лет подряд это Ближний Восток - Иран, Сирия и APT кибероружие - ахинея, раздутая СМИ. Стакснет Каспер первоначально профукал (как результат они даже наняли того, кто его нашел - господина Уласеня из вирусблокады), но на остальное уже были брошены все, что там в ЛК умеют реверсить плюс всякие пиарщики типа Гостева получили мощный пинок под зад для ускорения. Интриги, разоблачения, кибероружие, политота и красной линией скрытая реклама АВ, при этом все понимают, что любой АВ будет бесполезен против APT атаки. Вот и выходит этакий аналог Speed Info для зарубежной ЦА. Помимо нескольких эксплоитов, PLC руткита в стакснете, сплоита в дуку, md5 коллизии в flame, там нет ничего интересного - те же серты воровали и раньше, а код сам по себе напоминает аутсорсинг, никакой сложности в удалении, обнаружении не представляет и рассчитан сами знаете на кого.

В общем эта истерия уже порядком надоела и эти вбросы которые приняли чуть ли не ежемесячный характер уже утратили свою первоначальную силу. Мало кто сейчас вам скажет в чем разница между гауссом и минидьюком. Приелось. Каспер разрабатывает свою никому не нужную ОС, кусок какого-то хидера которой выглядит в лучших традициях утекших сорсов КАВ6. Потом появляются сообщения о поиске разработчиков этой "принципиально новой защищенной ОС".

А господин Матросов известный чувак из есета, твитерный эксперт и мастер довления ф5 в хекс-рейс 80 лвл. Так что анализ для него действительно нереально сложный, ведь надо чето делать самому (или скопировать так чтобы не было похоже на symantec, crysys или тот же лк). Поэтому обычно рядом с ним Родионов, который все и делает.

| Сообщение посчитали полезным: Oott

ARCHANGEL пишет:
Ну, допустим, тяжело, ну, предположим, 3,5 месяца реверсили код. А нахрена? Что в конечном итоге было достигнуто?
Они наконец поняли что программа написана не на бейсике, а на С++
ARCHANGEL пишет:
А вышли они из неё легко, обучившись давить F5 в IDA Pro
Каспер ждёт их с распростёртыми руками

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: