исследования malware

привет все!
вопрос - как определить, где находится вредный код? дизасмить долго (файл большой или написан на барсике). как-то с помощью отладчика или мониторов можно?
спасибо!

 

pluton
Какой код Вы считаете вредным?

 

обычно после инстукции call _very_dangerous_code идет тело вируса, но в пермутаторах может быть иначе

 

.

 

Советую 22 или 24 и разрешение 1600 х 1200

А 19 маленькие у них почти у всех 1280 х 1024

 

И главное при просмотре не забыть что за этим может последовать отстук ... вначале в дверь а патом в голову =)

 

код, который мешает юзеру собственно, что обычно делает малваря

как её определить в большом файле?
UTeX, мониторы - в смысле regmon, filemon

 

ставить бряки на вредные функции и все.
мониторы на то и мониторы, что они только мониторят внешнюю активность, но никак не то что происходит внутри приграммы, и у же тем более не говорят, что вредно а что полезно.
Еслиб нахождение вредного кода былоб тривиальной задачей, то небылоб ни касперских, ни авастов, ни нодов - был бы один антивирус который бы работал на 100%.
А если надо чтоб и не дизасеммблировать и не думать - то надо платить деньги тем, кто будет этим заниматся - думать и дизасмить. В этом случае с вашей стороны даже и что такое вредный код знать не надо, только платить.
--
PS/ хотя есть один способ простого нахождения вредного кода - он находится во вредной программе, вредного программиста.

 

например, на какие функции?

вот они там прямо весь код дизасмят? а если 2 метра и с объектами? вряд ли

зы. спрошу чуть по-другому - как ограничить область поиска вредоносного кода во всей программе?

 

"которые мешают юзеру"

 

а конкретно?

 

pluton

так те которые конкретно мешают.
а те которые не конкрено мешают - не трогай!

 

млин, кто-то может нормально ответить на вопрос.
ещё раз объясню ситуацию - надо найти вредносный код в нескольких файлах с малварей. есть большие файлы (2 МБ) и файлы, написанные на ненашенском языке (например, барсик) с кучей недокументированных функций. в таких условиях всю программу исследовать очень долго. поэтому хотя бы ограничить область поиска
кто-то знает, как исследуют малвари и вирусы в антивирусных компаниях?
спасибо

 

pluton
мдя
если тебе это по серьёзному надо, то тебе выше предлогали это сделать за вознагрождение.
если поиграться, то импровизируй, придумывай и пробуй.
если надно серьёзно и платить не хочу - случай клинический

 

>>Какой код Вы считаете вредным?
>код, который мешает юзеру
а конкретно?

 

wsd
Возможно, это начинающий вирусный аналитик, недавно устроившийся на работу

pluton
Для начала неплохо бы точно определить хотя бы язык и/или компилятор. Или платформу (x86/64 native, .NET, Java ). Потом уже опираться на опыт исследований в целевом фреймворке, если он есть. Если нет — лучше отдать специалисту.

Потом, чтобы найти интересующий код, нужно знать, что он делает. Иначе затея "исследования" становится бессмысленной.

 

не подходит

так вот подскажите плиз, в какую сторону пробовать

IceStudent, спасибо

два файла:
1. 2 метровый, написан на c++; компилер (peid) - Microsoft Visual C++ 6.0. есть объекты
2. поменьше, язык - нативный VB6. куча недокументированных функций, поэтому с ними трудно сходу разобраться

а откуда специалисты берутся?

это - цель. я не знаю, что он делает, но я знаю, что это какая-то вредительская прога (может быть кейлоггер или сниффер или ещё что-то). собственно, нужно определить что он делает и где

 

Известно откуда

Чем же они такие вредные-то?

 

ну? они же когда-то тоже учились

они вредные для юзеров

 

Это к вопросу как ими становятся, а не откуда они беруться