• XSS.stack #1 – первый литературный журнал от юзеров форума

Реверсинг для своих нужд

Отслеживать
Ребята, вынужден опять поднять тему..
вопрос по расследованию malware опять напрягает меня.
Может поможете в этом нелегком деле?

Как самостоятельно выяснить характеристику ПО ? допустим криптованный вирус, с названием notepad.exe и ярлыком блокнота, как определить или по каким сигнатурам определить, что это вредоносное ПО ?
запустить на виртуалке и смотреть что делает - не очень серьезно.

Может есть какие то курсы, достойные книги или статьи?
 
Apocalypse

мм ))) это как делать ?
будет ли достаточное инфо, чтоб видешь поведение ПО ? независимо от того что за программа, криптован он или обфуксован.
 
Если код засран, то можно использовать антируткиты, сниферы, апитрейсеры - чтобы посмотреть, идет ли какой "левый" траф с машины, перехвачены ли апи и какие апи вызывались при работе софта, аспектов много. Трейсить в ольке по F7, F8 =)
 
Apocalypse
:D
даже если в олей не работал, то смогу понять что там к чему?

Ситуации разные могут быть, просто хочу почти при любом ситуации понять что делает программа. Да и никто не отменил варианты слейки файлов. Скажем ICQ.exe (установочник) с каким небудь бэкдуром. надо, чтоб смог отличать ))
 
А можно ли "гадать" malware или нет подозрительное ПО, смотря по обращениям API функциям?
Если да, то где можно читать про это? т.е. какие API функции "потенциальны" для malware?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
А можно ли "гадать" malware или нет подозрительное ПО, смотря по обращениям API функциям?
Этим и занимаются разные аверы, анализируя эвристически файлы (вида - если UrlDownLoad.. ->ShellExecute и т.п. последовательность, то это похоже на малварь). Но я думаю, так анализировать не особо продуктивно - ведь если малварь закриптована, там обычно добавляются левые импорты,вида создания окна и так далее. Если по этим апи-функциям авер не распознал в ехе малвари, то вряд ли распознаете вы.
Не проще уже взять какой-нибудь Ollydbg, и пошагово выполнить ехе-файл, смотря что он делает и куда обращается. Так и поймете, малварь это или нормальный файл.
 
Quake3

Не проще уже взять какой-нибудь Ollydbg, и пошагово выполнить ехе-файл, смотря что он делает и куда обращается. Так и поймете, малварь это или нормальный файл.
да вот пытаюсь , но много чего не понимаю..
Нет ли видеокурсов по этому делу?
ну или платные обучение по интернету... много вопросов возникают при этом деле.
 
Сколько готов заплатить?
:D очень мало.
не работаю нигде и деньги зарабатываю шабашками только.
 
Без изучения ассемблера и логики работы процессора не обойтись, а дальше вооружиться мониторами (FileMom, RegMon, ProcessMon и т.д. имхо даже они могут многое сказать о работе конкретного процесса.). А дальше запихивайте в OllyDbg первый попавшийся ехе и трейсите, пытаясь понять что происходит. Пройдет время и вы начнете понимать что и как и в каком порядке происходит...
 
отвечал другому юзеру, но выложу здесь для всех

отвечаю как я развивался
1) Читал цикл введение в отладку с помощью оллидбг на васме. Цикл статей очень хорош для нубов + там не требуется изначально никакого знания асма и доходчиво объясняются сложные концепции
2) Паралелльно с этим циклом нужно всетаки асм изучать, из всех книг мне больше всего нравится книга Кипа Ирвина (ищется на раз по имени). Там масм и очень всё хорошо + упражнения есть
3) Где-то в середине начнется работа с пакерами, вот тут нужно подтянуть знания по PE формату. Читай все что найдешь в гугле, начиная от офиц. спецификации и кончая древними статьями на exelab.ru
4) После цикла можно ещё посмотреть на видео уроки от Lena на tuts4you.com, там чтото подобное, но уровень человека должен быть чуть побольше (+ английский язык), я их особо не смотрел, но то что смотрел понравилось
5) На этом этапе у тебя должен быть нормальый английский, тк большинство инфы по теме англоязычная
6) Необходимо нормально научится пользоваться идой, лучшим источником является IDA Pro Book (английский)
7) Для скриптования советую ещё паралелльно изучить питон, тк вручную делать многие действия бессмыслено, и после этого советую пересесть с олли на иммунити дебагер
8) И самое главное, инфа это фигня по большей части она позволяет начать, но дальше нужно нарабатывать опыт и поэтому крякмиксы, малварь и всё что попадется под руку нужно реверсить, тк нормальный реверсер разбирает по сути не команды, а паттерны кода наработанные в ходе предыдущих исследований, работая по сути логическим декомпилятором (иногда хекс рейс может помочь, но он часто лажает, поэтому нужно всегда надеятся только на себя)

кратенько как то так
 
>> 8. Не согласен. Опыт нужен для получения инфы. Если она известна, то опыт не нужен. Зачем копаться в обычном софте, если там ничего нового нет ?

я про сам реверс, а не то для чего он используется
 
higaru, хм... а в чем преимущества immunity?

Indy, не согласен с вашим "не согласен"))
8. - самое главное. Знание азбуки и некоторых слов не дает понимания смысла стихов.
 
E.N.G.Land
immunity как минимум покрасивше будет, в остальном один в один олька, ну быть может еще и пайтон примешан, а это несомненно тянет за собой кучу разных плюсиков

higaru
вы почти описали мой опыт, только некоторые моменты я счел не значительными и опустил их
 
Я еще с 2006 г. пытался учить ассемблер по книге Ассемблер. Экспресс-курс, дошел до половины, но мне казался, что все же программирование не мое :(
Не знаю, может книгу не тот выбрал, но все изучая архитектуру процессора, все же для меня сложно было самостоятельно даже написать "Hello world" на ассемблере.
Мне все это дело нужно ТОЛЬКО для исследования malware. Чтоб понять что, как и куда.
Реверсить что то или программировать - не собираюсь.

пользоваться тулзами типа regmon, filemon и т.д. - херня.. Хочу серьезно как бы. Да и ведь многие малвари уже используют шифрованные соединения и передачи информации.. уже только серьезные знание нужны.

Собираюсь купить книгу Practical Malware Analysis, может с ее помощью смогу научится...
анг. язык знаю на среднем уровне.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх