Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Прикладное программирование » Эксперты из Касперского

Модерирует : ShIvADeSt

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем.
Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html
Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда...
Интересно ваше мнение.
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 20:29 05-02-2013
ne_viens

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ida восстанавливает названия функций, но только при наличии отладочных символов. Правда, я ещё не видел ни одного дроппера, где они бы присутствовали. Такое только в наивном мире Mac'a происходит, где символы по умолчанию в бинарник линкуются.
 
Насчёт дисассемблирования в уме- это мало вероятно, но возможно, так как мозг можно натренировать делать удивительные вещи. Tолько нафик это надо, если вместо тренировок можно попить пивка, а дисасемблировать Idoй
 
Всего записей: 1530 | Зарегистр. 01-11-2004 | Отправлено: 21:50 05-02-2013
xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кстати, вот что произошло с моей статьёй на Хабре - http://dmitryart1985.livejournal.com/8422.html
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 00:27 07-02-2013
landy



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вообще-то, IDA вполне в состоянии распознавать имена системных (WinAPI) и других библиотечных функций, свойственных конкретной среде разработки. Ильфак называет это FLIRT-технологией (Fast Library Identification and Recognition Technology)
Всего записей: 576 | Зарегистр. 17-01-2003 | Отправлено: 15:35 09-02-2013
xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
landy
Их не надо распознавать, они и так есть в секции импорта файла.
Только WinAPI используется почти всеми программами под Windows - и это не означает что у них (программ) одинаковый функционал.
 
Цензура в Рунете: http://dmitryart1985.livejournal.com/8727.html
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 17:29 09-02-2013
landy



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Имеется в виду, что IDA в состоянии заменить безымянные CALL XXXX понятными мнемоническими вызовами WinAPI, попутно дав нормальные имена во всех местах листинга переменным, указанным в качестве параметров. Уже одно это существенно облегчает задачу понимания того, что делает дизассемблируемая программа.
Всего записей: 576 | Зарегистр. 17-01-2003 | Отправлено: 14:10 10-02-2013
xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И зачем нам вызовы? Ануфриев сказал, что он восстановил оригинальные названия функций из кода. Не путайте пожалуйста. Более того, как заметили на другом форуме (из работы ESET'а):
 
/////////////////////////
Сложность заключается в точном получении адреса процедуры, которая будет вызвана. Статический анализ не дает информации о том, куда будет указывать регистр ЕАХ. Для того чтобы получить адрес, нужно выяснить, где создается объект указанного типа, а это происходит непосредственно в процессе выполнения, и именно тогда инициализируется указатель на таблицу виртуальных методов
 
можно сделать вывод что в этом листинге нихера непонятно куда передается управление при вызове функции. Язык и версию компилятора успешно определяет сама ида, в ней реализована технология flirt, которая опознает стандартные функции языков высокого уровня. Данный бот - ядерный руткит и стопроцентно понять что он делает просматривая лишь листинг невозможно.  
/////////////////////////
 
Так что уж извините меня, как не запуская можно хоть что-то утверждать?
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 19:19 10-02-2013
xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо все за ответы, я опубликовал главу 2 нашей истории: http://dmitryart1985.livejournal.com/9061.html
Забавно, на хабре: http://habrahabr.ru/post/169179/ в этот раз статья провисела 10 мин, постараемся её восстановить.
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 22:30 12-02-2013
xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Продолжение истории: http://fingazeta.ru/technology/otkuda-ishodit-kiberugroza-184031
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 03:58 24-02-2013
delover

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
листинге нихера непонятно куда передается управление при вызове функции.

Очень хочется добавить, что не только просмотр дамп-листинга может ничего не дать. Но даже исходный код программы бывает невозможным для идентификации бага.  
 
Например мне недавно удалось выяснить причину, почему слетает регистрация программы у клиентов. По коду всё идеально - HardId был привязан к Процессору, биосу, дате инсталляции и имени компьютера. Ничего из этого не должно меняться по идее? Не тут то было. Снимаем галочку переходов с летнего на зимнее время - и вуаля, дата инсталяции сдвигается на час и у нас новый ХардИд. (Дата бралась через WbemScripting в виде строки).
 
Так вот глядя на исходный код программы, можно непонимать, что реально происходит, а глядя в дамп и подавно.
 
Добавлено:
pps
До этого ещё делали привязку к МАК адресу. Один очень авторитетный специалист утверждал, что МАК никогда не меняется. Оказалось что меняется, и тех поддержку просто замучали с перерегистрациями. Так что имея неточные данные, можно поиметь и неточную экспертизу.
Всего записей: 1395 | Зарегистр. 25-06-2007 | Отправлено: 12:38 04-03-2013
xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как ФСБ фабрикует уголовные дела: http://rnp-1.livejournal.com/21539.html
И так, мы написали объёмный пост по всей фабрикации доказательств нашего УД, в котором принял участие и юный господин Ануфриев из Лаборатории Касперского. Если у кого-то вызвало недоумение, как же Ауфриев реверсил сотни строк кода в уме с помощью IdaPro, или компилировал тысячи файлов С++ тоже в уме. То тут дело ещё похлеще, оперативники смогли РАСШИФРОВАТЬ SSL трафик. Вытащили оттуда пароли, которые им, в общем то, и НЕ ПОНАДОБИЛИСЬ. Воспользовавшись СВОИМИ оперативники получили доступ к ботнету. Читайте пост, будет много интересного: полёты в будущее, подбрасывание доказательств и многое другое .
 
http://rnp-1.livejournal.com/21539.html
 
Материалы дела были настолько стрёмные, что за 4ёх ПОНЯТЫХ РАСПИСЫВАЛСЯ САМ СЛЕДОВАТЕЛЬ: http://fingazeta.ru/technology/podpisnaya-kampaniya-185895/?sphrase_id=810752
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 13:55 18-05-2013
xengel

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я не буду говорить, что Павел Врублевский святой человек, просто читайте и слушайте сами: Вирус, предположительно атаковавший Ассист в июле 2010 года, был создан в лаборатории Group IB
 
ПРОСЬБА К ТЕМ, кто хочет чтобы из России построили правовое государство, кто против беспредела и беззакония, кто за свободу слова - СДЕЛАЙТЕ РЕПОСТ!
 
Человека закрыли, просто когда начали поднимать грязное бельё, просто чтобы закрыть рот!
Всего записей: 52 | Зарегистр. 30-09-2006 | Отправлено: 22:06 12-06-2013
data man



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xengel
 
А при чём тут "Прикладное программирование"?
Можно хоть тут обойтись без политики?

----------
Любой достаточно развитый тролль неотличим от подлинно помешанного на какой-либо идее.
Кекс. Антибиотики. Ламбада.
Всего записей: 1696 | Зарегистр. 13-10-2005 | Отправлено: 23:24 12-06-2013
vadim100

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Человека закрыли, просто когда начали поднимать грязное бельё, просто чтобы закрыть рот!

 
Я не буду судьей. По моему опыту невозможно судить истину только по высказыванием одной стороны. Как правило это сторона опускает неудобные моменты.
 
Я хочу высказать свое мнение по эксперту - он отвечал нормально и нечего его поливать.
Он не утверждал что получил исходный код. Он говорил что программа сходна по функционалу с функционалом в исходном коде. Имена переменных и функций неважны. Главное то что делают эти функции.
А то что делают программы дизассемблеры (IDApro) показывают .
 
Поэтому xengel ты явно раздуваешь костер, ты как профи сам всё должен понимать.
Всего записей: 90 | Зарегистр. 02-04-2003 | Отправлено: 11:21 15-06-2013
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » Прикладное программирование » Эксперты из Касперского


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru