Что в себя включает работа вирусолога или вирусного аналитика?

Тема в разделе "WASM.HEAP", создана пользователем neutronion, 2 апр 2010.

  1. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Привет, вирусологи! Хотелось бы узнать, что в себя включает работа вирусолога (желательно список).
    Интересует с профессиональной точки зрения. Что нужно знать и что уметь, что нужно делать по роду деятельности.
    Надеюсь Крис Касперски откликнется на этот топик, однако если он занят, то не менее ценны мнения других заинтересованных
    людей мира вирусов.
    Спасибо.
     
  2. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    красные глаза от постоянного втыкания в монитор
    пузо, от последующего расслабления с помощью пива
     
  3. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    neutronion
    > Надеюсь Крис Касперски откликнется на этот топик,
    > однако если он занят, то не менее ценны мнения других заинтересованных
    ща выдвигаюсь на лондон, потому времени на развернутый ответ не остается. хотя если бритиши забастуют -- времени будет море. надо было эмиратами лететь ;-( как чувствовал ;-(

    Asterix
    > красные глаза от постоянного втыкания в монитор
    > пузо, от последующего расслабления с помощью пива
    короче свежий локальный анектод из рестона. короче стопит полицейский хиповатого парня. (только не спрашивайте меня откуда в рестоне полицейские!!!), докапывается до красных глаз, подозрительного смеха и конвульсионных подергиваний пальцев и начинает пытать:
    -- курил? -- нюхал? etc...

    -- pdf tiff сплоита всю ночь реверсел!!! мммать... поубивал бы...

    (зы. для тех кто в танке там pdf -> xml -> tiff в base64 с шелл-кодом. из-за баги в популярном base64 декрдере шелл-код верен только до первых 7Ch байт, после чего идет фигня. и выходит что он как бы начинает себя расшифровывать, но хрен поймешь как это вообще работает. а оно ведь работает. если запустить. а в дизасме таааакая лапша.... короче, когда раскололи долго смеялись. автора декодера решили побить по братски)
     
  4. Sav1or

    Sav1or New Member

    Публикаций:
    0
    Регистрация:
    12 мар 2008
    Сообщения:
    52
    ха-ха
     
  5. stallker

    stallker New Member

    Публикаций:
    0
    Регистрация:
    9 май 2008
    Сообщения:
    360
    О Касперски вернулся!
    Что у вас по поводу работы? Нашли кого?
    Есть какие либо вакансии? Хотя бы в общих чертах.
     
  6. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    stallker
    Нашли кого-то, это точно. В соответствующей теме Крис писал. А вот на счет новых вакансий не в курсе я. Мне кажется Крис в этом не компетентен, там есть босы, и они решают нужна вакансия или нет... Как то так.
     
  7. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    neutronion
    Крис авер.
    Знать нужно гораздо больше чем простому кодеру, пишущему софт(уг).
     
  8. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Одно из самых интересных вещей о вас Крис, это разгадать ваш феномен. Как вы дошли до
    жизни такой :). Как стали тем кем стали. Если верить статье о вас в wikipedia и в одном
    из номером хакера у меня сложилась следующая картина:dntknw:только не подуймайте, что я пытаюсь создать из вас идола, это противоречит тому чему учил нас Христос :)). Думаю весь фокус в том, что вы около нескольких лет оказались в изоляции от людей, с некоторой документацией один на один с компьютером. После нескольких таких лет отшельником, вы и научились с ним говорить на его языке.
    Помнится когда я был в армии на киче(Гауптвахта) то остался почти без источников информации. 3 дня срока на которые меня посадили показались мне очень большим промежутком времени. Не было никакой информации, ни газет ни общения. Но, остальные чувства очень сильно обострились. Мозг голодал от недостатка информации. И был такой момент, на полу деревянном лежать по правилам кичи не разрешается, нужно сидеть на скамейке. А вы можете представить, что значит сидеть на скамейке целый день. Так вот все естественно ложились на пол. Как только раздавался звон ключей все вскакивали с пола, чтобы не попасться цирикам(охранникам) за этим делом, поскольку незамедлительно применялись штрафные санкции. Так вот, со мной произошел такой феномен, не знаю насчет остальных.
    Когда звенели ключи и раздавался шаг в коридоре, то после 2 дней я начал понимать, кто и
    за чем идет. Когда мои сокамерники вскакивали, я уже знал, по характеру звона ключей кто
    , что беспокоиться собственно нечего, и я им говорил что это идет Пупкин по делу такому-то.
    И это действительно было так. Такой вот своеобразный взлом системы. Так вот, сдается мне с Крисом возможно случилась подобная ситуация. Оказавшись в изоляции, но с некоторой инфой по компьютерам, человеческий мозг работает активнее, чем ежели он вел бы активное общение с другими человекоподобными.
     
  9. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Между прочим.
    в одном из топиков, вы упоминали коньки. Так вот чтобы не гробануться больно головой оземь
    не ставьте ноги на одну линию, тогда у вас появится устойчивость во всех направлениях.
    Конек должен заходить за другой примерно на пол-конька.
     
  10. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    neutronion
    >Между прочим. в одном из топиков, вы упоминали коньки.
    ну да, тут в рестоне есть каток. хорошее место для пикапа. а коньков у меня нет и кататься не умею

    > Одно из самых интересных вещей о вас Крис, это разгадать ваш феномен.
    > Как вы дошли до жизни такой :). Как стали тем кем стали.
    так я шел не один, а с друзьями. даже не зная, что они мои друзья и кто они. но чувствовал, что они идут. и кем бы я был без них и без вас? крисом меня сделали вы. и он ушел дальше с вами. а мыщъх остался. мыщъх - это я. серый, пещерный.

    > Если верить статье о вас в wikipedia
    не надо ей верить ;)

    > Думаю весь фокус в том, что вы около нескольких лет оказались
    > в изоляции от людей, с некоторой документацией один на один с
    > компьютером. После нескольких таких лет отшельником, вы и
    что было ошибкой. изоляция меня ни разу не прикалывала. хотелось общения. потому и писать начал. страшно зудело поделиться своими находками с окружающими. в окружении людей я работаю намного более продуктивно. вот сейчас снова лечу в рестон, потому как одиночество задолбало невыносимо.

    > Так вот, сдается мне с Крисом возможно случилась подобная ситуация.
    я не знаю что со мной случилось. и уже отчаялся это понять. я уже писал, что на корпоративной вечеринке пытал подвыпившее начальство (а начальство у нас много): за что мне деньги платят? я же еще ничего не сделал, а то, что сделал -- накосячил безбожно. а косячил я так, что думал, что меня выгонят нахрен. вместо этого пошел на повышение. причем я вижу, что меня окружают люди, которые объективно умнее меня, опытнее меня, а у меня еще и конь не валялся.

    > Оказавшись в изоляции, но с некоторой инфой по компьютерам,
    > человеческий мозг работает активнее, чем ежели он вел бы
    > активное общение с другими человекоподобными.
    история не знает сослагательного наклонения, но сдается мне, что в программерском окружении я бы достиг намного большего. у умных людей я учусь. глупые часто своими неверными мыслями наводят меня на верную мысль. пока объясняешь им почему они неправы -- щелк! и внезапно понимаешь суть вещей и природу мира.

    TermoSINteZ
    > Нашли кого-то, это точно. В соответствующей теме Крис писал.
    это да. вакансия закрыта. хотя человек так и не трудоустроен. психует. ну это понятно. я тоже психовал. меня принимали с февраля по август. и не только меня. конкретные условия трудоустройства будут обсуждаться на следущей неделе и не исключено, что они кого-то не устроят. хотя человек адекватный, толоквый, легко обучаемый, etc (он кстати так же на васме обитает. захочет отписать -- отпишет)

    > А вот на счет новых вакансий не в курсе я.
    McAfee компания большая. недавно вот дотнетчицу наняли. щас она пакетный фильтр пишет. а мы затаив дыхание ждем результата.


    > Мне кажется Крис в этом не компетентен,
    угу. правом найма не обладаю. рекомендовать -- могу, но пока все мои рекомендации были проигнорированы.
     
  11. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Крис, вы упоминали, что израильские хакеры очень сильны. С России или же местные сильны?
    Каков характер их деятельности? Чем занимаются люди?

    На счет асм, то что он не умер. Слышал, что в спутниках используется только асм, поскольку
    телекоммуникации на таком уровне нужна приличная оптимизация. Ничего не знаете об этом?
     
  12. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    тут вот практический вопрос возник не могли бы помочь:
    7C809A84 Main MOV EBP,ESP ; EBP=0012FAB4
    7C809A86 Main PUSH DWORD PTR SS:[EBP+14]
    7C809A89 Main PUSH DWORD PTR SS:[EBP+10]
    7C809A8C Main PUSH DWORD PTR SS:[EBP+C]
    7C809A8F Main PUSH DWORD PTR SS:[EBP+8]
    7C809A92 Main PUSH -1
    7C809A94 Main CALL 7C809AA2 ; EAX=00960000, ECX=7C809AE9, EDX=7C90EB94
    7C809A99 Main POP EBP ; EBP=00442464

    здесь 7C809A94 Main CALL 7C809AA2 - это вызов функции VirtualAlloc.
    Никак въехать не могу, почему всегда возвращается адрес EAX=00960000, ведь насколько
    я понял строка 7C809A92 Main PUSH -1, говорит о том, что адрес формируется произвольно, но у меня всегда там 960000?
     
  13. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    выдержка из документации вдогонку..

    ...If this parameter is NULL, the system determines where to allocate the region...
     
  14. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    neutronion
    У меня сложилось впечатление, будто вы для какого-то журнала статью делаете. Интервью. Как то вопросы слишком разрознены.
     
  15. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    neutronion
    А не обманываете ли вы....
    Возвращает в результате 0. Что говорит об ошибке. Скорее всего GetLastError вернет 0x57 (Параметр задан неверно.).
     
  16. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    neutronion
    А вы про контроллеры и т.п слышали?
     
  17. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    neutronion
    > выдержка из документации вдогонку..
    спасибо за хороший вопрос. ("надо будет на интервью у кандидатов спросить" думает мыщъх)

    # ...If this parameter is NULL, the system determines where to allocate the region...
    а дальше?
    ...the specified address is rounded down to the next 64-kilobyte boundary....
    что произойдет при округлении -1 (FFFFFFFFh) ?! правильно - ноль. так что все согласно sdk

    > Крис, вы упоминали, что израильские хакеры очень сильны.
    изеры вообще умные в своей массе, даже если они и не хакеры.

    > С России или же местные сильны?
    с учетом времени образования государства израиль (которое по историческим меркам произошло совершенно недавно), аборигенов там нет и не может быть в принципе. все мигранты. только в разных поколениях.

    > Каков характер их деятельности? Чем занимаются люди?
    если честно - не знаю. я там читал лекции по реверсингу и у нас были некоторые общие проекты. уровень подготовки очень впечатляет. уровень одержимости -- тоже. это когда на сматфоне стоит компилятор, а на унитазе он хачит с ноута по вайваю.

    > На счет асм, то что он не умер. Слышал, что в спутниках используется только асм,
    каких именно спутниках? какой асм? спутник это ж грандиозное инженерное сооружение. там куча всего. что-то и на асме программируется (вероятно).

    > поскольку телекоммуникации на таком уровне нужна приличная оптимизация.
    ну она как бы в обычных кодеках на компах нужна. и без асма там не обходится. посмотрите любой опенсорсный Mp4 кодек. хотя нет. возьмите MS VC и посмотрите сорцы библиотечных функций.

    но вот попробуйте устроится асматиком. расскажите нам о результатах. будет очень интересно послушать ;) связка Си + АСМ рулит. базара нет, а вот чистый асм...
     
  18. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    kaspersky
    Скорее всего это сработает тока на Win9x Чисто теоретически (доступны верхние адреса). Практически же проверить не смогу. Такого антиквариата нету :)
    В линейке NT верхние адреса недоступны юзермоду.
    И сомневаюсь, что оно округляет в 0. Оно скорее всего округлит до 0FFFF0000h. Повторюсь если вообще округлит в Win9x.
     
  19. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Не часто удается столкнуться с хакером столетия вот и прут вопросы как пандора из бутылки. Не обессудьте.
    Еще один момент очень интересует, Крис. В последнем номере журнала Хакер за 2008 год,
    номер журнала 12, по-моему. Вы говорили, что продемонстрируете практическое применение
    взлома процессора на javascript и тсп пакетом. И что в Куала-Лумпуре вы хотели это показать.
    НО! Уже по другой статье из СМИ к вам завлились на виллу, или это была яхта(точно не помню,
    не суть) 2 здоровых абмала из Интела и попросили вас не публиковать этот материал.
    И что пообещали вам(почему не президенту Интела :)), что все уязвимости будут исправлены.
    (То же бред какой-то, как можно исправить уязвимость. если она существует на миллионах компах с процем, по-моему Core Duo, если не ошибаюсь).
    Вот ссылки на статьи:
    http://www.securitylab.ru/news/355981.php
    Вот еще:
    http://nnm.ru/blogs/reltcybr/kasperski_obewaet_pokazat_realnye_uyazvimosti_processorov/

    Хотелось бы узнать поподробней об этом деле, если конечно вы уже не дали подписку о
    не разглашении :)
     
  20. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Анализирую пример из статьи Нарвахо под номером 38
    unpackme FSG 1.31 dulek.exe Он ее дал на растерзание новичкам.
    вот ссылка на статью:
    http://wasm.ru/article.php?article=ollydbg38

    У меня пока только получилось сдампить и поправить импорт тайбл, одна сдампленная
    прога не работает, поскольку почему-то не срабатывает этот VirutalAlloc и соответсвенно не
    выделяется память по адресу 960000, куда потом записывается кое-какие данные, которые потом используются в коде. Я начинающий, так что пока в этом полный ламер.