Что в себя включает работа вирусолога или вирусного аналитика?

Тема в разделе "WASM.HEAP", создана пользователем neutronion, 2 апр 2010.

  1. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    kaspersky
    Мать моя женщина.. я не верю.)))
     
  2. stallker

    stallker New Member

    Публикаций:
    0
    Регистрация:
    9 май 2008
    Сообщения:
    360
    Ну да, на самом деле как голубые :)
     
  3. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    Clerk
    > Мать моя женщина.. я не верю.)))
    время сейчас такое. трудное. никому нельзя верить. а что плохого в работе в антивирусной индустрии? практически единственная область в которой рулят нелинейные решения и где тебе сверху не спускают никакого четного тз и где приходится быть на острие прогресса.

    никогда не понимал почему те, кто пишет вирусы настолько агрессивно настроены против тех, кто пишет антивирусы. такое впечатление, что обосравшись в интеллектуальном поединке (ведь неуловимых вирусов до сих пор не создано -- _все_ детектится), писатели вирусов просто мечут кал, расписываясь в бессилии и переходя на личности.
     
  4. _basmp_

    _basmp_ New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2005
    Сообщения:
    2.939
    kaspersky
    вопрос такой, существует ли официальный запрет писателям антивирусов писать на досуге вирусы?
     
  5. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    kaspersky
    Что детектится ?
    Хотите потестить на вашем унылом авере вири десятилетней давности ?
     
  6. litrovith

    litrovith Member

    Публикаций:
    0
    Регистрация:
    20 июн 2007
    Сообщения:
    509
    те, кто пишет вирусы 'имеют' пользователя > пользователь ав-продукта 'имеет' службу поддержки > служба поддержки докладывает о проблеме > потом 'имеют' kaspersky(шутка с долей шутки) > kaspersky 'имеет' "злобных и агрессивных писателей вирусов", и так по кругу.

    надо ж кому нить быть плохим, мерзким, необразованным, злым, неблагородным... )))))

    P.S инь и ян ;)
     
  7. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    _basmp_
    > вопрос такой, существует ли официальный запрет
    > писателям антивирусов писать на досуге вирусы?
    есть понятие "клеранце", то есть проверка твоего криминального прошлого до трудоустройства с последующим контролем после. остальное -- на усмотрение твоего манагера и прочих руководящих работников. у нас было много разных тренингов на которых говорилось как плохо и нехорошо воровать у компании деньги или заниматься шпионажем (не важно в чью пользу), но вот тренинга чтобы мы не писали вирусы -- такого на моей памяти еще не было.

    Clerk
    > Хотите потестить на вашем унылом авере вири десятилетней давности ?
    батя мой мужчина. мы IPS пишем. и потому exe/dll нам не интересны, т.к. это уже вторая фаза атаки.

    litrovith
    > служба поддержки докладывает о проблеме =>'имеют' kaspersky
    меня в основном имеют за f+ а не за f-
     
  8. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    kaspersky
    Это главный путь распространения, фазы ваши лишь наверно для америкосов вероятны, у нас же скочал-запустил-зарозил схема всюду робит :P
     
  9. _basmp_

    _basmp_ New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2005
    Сообщения:
    2.939
    kaspersky
    ну вы же русский человек. да еще и старой закалки. разве вы не слышали подобной ерунды всю свою жизнь. и что? пока подкрепляют свои глупости соотв выплатами и прочими бонусами - ок. нет - картотека уже собрана, торпеды готовы. болт то никогда не расслабляется, он просто появляться любит в неожиданный момент.
    а раз не запрещают писать вирей, то можно и посмотреть как там разместить его среди фальс-позитив. козырь то всегда нужен

    а проверяют кругом. вы, термосинтез, др голова, клерка вы хотите. клеарные люди никому особо не нужны, бо они стеснялись в грязь лезть за особыми знаниями/умениями и знают только попсу всякую. я такой. чистый и тупой.
     
  10. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    _basmp_
    > пока подкрепляют свои глупости соотв выплатами и прочими бонусами - ок.
    бонусов мне не платят. тут даже рабочего пространства не допросишься. юристы -- уроды. ой. не удержался. почему таможенный офицер, ой, который по определению должен защищать штаты от таких мигрантов как я, помогает мне больше, чем все юристы компании вместе взятые? я спросил таможенного офицера -- как остаться в сша. он объяснил на пальцах как тупому. все очень просто. а юристы? а что юристы?! у них все сложно и такое впечатление, что они "работают" над моей миграцией в обратном направлении.

    но ведь дело не в этом, верно? я уже не маленьий. я и без поддержки компании разберусь.

    > нет - картотека уже собрана, торпеды готовы.
    я ж говорю. все зависит кто твой манагер. а торпедой мыщъху под хвост это и больно, и не гуманно. а что за картотека?

    > болт то никогда не расслабляется,
    > он просто появляться любит в неожиданный момент.
    shit happens

    > а раз не запрещают писать вирей, то можно и посмотреть
    > как там разместить его среди фальс-позитив. козырь то всегда нужен
    не понял какой это козырь. и какой это фэлс если это вирь? так все-таки вирь или фэлс?
     
  11. izlesa

    izlesa New Member

    Публикаций:
    0
    Регистрация:
    25 дек 2008
    Сообщения:
    6
    2Clerk
    не, счас именно основной вектор для конечных пользователей сплойты под браузеры\пдф, тк позволяют очень широко распространять сэплы =) а "скочал-запустил-зарозил" не обеспечивает постоянного и большого потока ботов.
     
  12. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    izlesa
    Согласен в общем.
     
  13. assasincore

    assasincore New Member

    Публикаций:
    0
    Регистрация:
    7 апр 2010
    Сообщения:
    55
    Крис Так а какая разница какая уязвимость на браузере? Исполнения происходит не на I386, и не на X64, а на sparc(Или еще каком нибудь), а операционная система совсем другая.. Только отрисовка на Windows. И как будет атака происходить? Эксплоит для черного ящика? процессора не знаешь, системного апи не знаешь, Что вообще можно сделать? Мне уже становится очень "интерестно"...

    П.С. На счет зомби, я просто не правельно выразился. Я имел ввиду что он пытался толкать новые идеи, то и есть не копипаст... ))

    Вот поэтому и не верилось. Может просто люди немного зациклились? )). Наверное врятли...
    Но кстати Каспер кажется какой то прикол к процессору придумал, мелком слышал, дажет патент начал делать(сделал). Так что не стоит на месте...
     
  14. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    assasincore
    > Так а какая разница какая уязвимость на браузере?
    никакой. детектить уязвимость браузера эвристикой затруднительно. распознать засылаемый шелл-код значительно проще. и такой детектор будет работать не только с браузером.

    > Исполнения происходит не на I386,
    это с какого перепугу?

    > и не на X64, а на sparc(Или еще каком нибудь),
    > а операционная система совсем другая..
    например?

    > Только отрисовка на Windows.
    что за сферическая лошадь? операционные системы у нас: вынь, линь, мак. остальное на десктопе встречается крайне редко, так что атаковать это никто все равно не станет.

    > И как будет атака происходить? Эксплоит для черного ящика?
    сплоиты есть для выни, лини, мака, мобилок... и они работают.

    > Что вообще можно сделать? Мне уже становится очень "интерестно"...
    ну вот вы через что эту мессагу писали? рискну предположить, что у вас таки установлена вынь, а браузер лис, хром, опера или ие. так что атаковать вас вполне реально. как реально атаковать этот сайт. достаточно например, ммм... вбить сюда несколько текстовых байт и яха выкинет его из своих баз.

    > П.С. На счет зомби, я просто не правельно выразился.
    > Я имел ввиду что он пытался толкать новые идеи, то и есть не копипаст... ))
    и сколько идей они таки протолкнул? а вот те же механизмы обхода DEP (их щас четыре уже) активно используются. ну во всяком случае три механизма точно используются. ну два.

    > Но кстати Каспер кажется какой то прикол к ппроцессору придумал,
    > мелком слышал, дажет патент начал делать(сделал). Так что не стоит на месте...
    не в курсе. но сделать патент сейчас раз плюнуть. вот как этот патент начнет реально использоваться... DEP вон тоже придумали. для защиты. а что толку? куча честных программ тут же рухнула, а хакеры его обошли еще до внедрения.
     
  15. assasincore

    assasincore New Member

    Публикаций:
    0
    Регистрация:
    7 апр 2010
    Сообщения:
    55
    Начну отсюда:
    У меня стоит устройства на базе Sparc, через который идет доступ к интернету. На нем стоит X(по понятным причинам я не буду говорить какой ОС).

    Потому что браузер работает на sparc, а отрисовка на I386("выне" :) ). Точно также и pdf. Загрузка приложения идет на устройстве, а не на моем компе...
    Не ну конечно если каким то образом "злоумышленик" какая на устройстве ОС. Узнает Арх. устройства. Реверснет протокол устройства с комп. То возможно что сможет меня атаковать.. )) Честно говоря если у кого и выдет, то это сущий ДЬЯВОЛ...

    А вот с exe файлами пока что придумать ни чего не получается... ((


    . Если делать самому(то и есть без связий) то на сколько мне известно его утвердить могут через 3 года. Опросы...

    Согласен, на самом деле Зомба не слишком был информативен...
    К стати к вам в этом смысле я лучше отношусь(то и есть хорошо), мне понравились некоторые книжки, так как реверсингом я занимался по столько поскольку, то они были в самый прок... Как щас помню курсовую писал на тему Упаковшиков, много полезных ссылок взял... Та и кое что прокопипастил из "искусство дизассемблирования"...
    Но Зомба пытался мыслить, а рамки предложенного, в то время как большенство реверсиров не мыслят, а вспоменают... НЕ ВСЕ!!! Или я заблуждаюсь?

    например? QNX, FreeBSD, Linux, в конце концов хоть мобильные платформы... Ведь достаточно соединить мобильный телефон, и на нем pdf reader. Какой нибудь обрезанный Linux для мобильной платформы. Процессор будет совсем ведь другим...
     
  16. assasincore

    assasincore New Member

    Публикаций:
    0
    Регистрация:
    7 апр 2010
    Сообщения:
    55
    П.С. П.С В кратце,

    Все дело в том что открытие pdf файла или исполнение JS будет на неизвестном процессоре... Так что атаковать будет практически невозможно...
     
  17. assasincore

    assasincore New Member

    Публикаций:
    0
    Регистрация:
    7 апр 2010
    Сообщения:
    55
    Я не подлизуюсь, если кто меня не правельно понял...
    Сам себя цитирую )) шиза... ))
     
  18. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Есть предложение выявить дьявола, скажите ваш ip, и дайте разрешение на взлом своего
    компа. Тот кто сможет залезть на ваш комп, тот и дьявол!
     
  19. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    2assasincore
    вы часто говорите об идеях зомба, можно какую-нибудь идею, с конкретным примером?
    Самому интересно, кто это. Это случаем не его сайт?
    http://z0mbie.daemonlab.org/
     
  20. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    assasincore
    > Все дело в том что открытие pdf файла или исполнение JS
    > будет на неизвестном процессоре... Так что атаковать будет
    > практически невозможно...
    даже если на известном. на маке очень рульно открывать html сплоиты. js код выполняется и декриптор отрабатывает нормально, а вот шелл код дохнет по понятным причинам. однако мои коллеги с макми пару действующих сплоитов таким беспечным образом все-таки словили.

    потом не нужно забывать, что часть атак реализуется средствами самого js и до процессора дело вообще не доходит. правда, все равно нужно знать браузер или pdf читалку.

    > У меня стоит устройства на базе Sparc, через который идет доступ к интернету.
    > На нем стоит X(по понятным причинам я не буду говорить какой ОС).
    > браузер работает на sparc, а отрисовка на I386("выне" :) ). Точно также и pdf.
    офигительная у вас конфигурация (травы отсыпьте, а то меня никто тут накурить не может), а сколько людей таскают всего лишь один ноут?

    > Загрузка приложения идет на устройстве, а не на моем компе...
    нееет, это не трава. LSD? MDMA?

    > Не ну конечно если каким то образом "злоумышленик" какая на устройстве ОС.
    > Узнает Арх. устройства. Реверснет протокол устройства с комп. То возможно
    > что сможет меня атаковать.. ))
    та он запариться...

    > А вот с exe файлами пока что придумать ни чего не получается... ((
    как на счет того, чтобы exe файлы банально не запускать?

    > Если делать самому (то и есть без связий)
    мне проще. я через компанию могу.

    > Но Зомба пытался мыслить, а рамки предложенного, в то время
    > как большенство реверсиров не мыслят, а вспоменают...
    > НЕ ВСЕ!!! Или я заблуждаюсь?
    кто же спорит. человек точил ништяки и охотно делился ими с окружающими, что сейчас редкость. собственно, я занимался тем же самым. и хотя делал это довольно непрофессионально и мои статьи с книгами традиционно кишели багами, критика ушла лесом, потому как критикующие в большинстве своем хоть и были намного более профессиональные люди -- народу от этого ни жарко ни холодно. зомба писал как мог, мыщъх писал как умел, а они них не писали.

    так что судить о человеке по написанному, сравнивая его с другими -- несколько наивно. куча людей точит ништяки втихую и остается ниже радаров.

    > например? QNX, FreeBSD, Linux, в конце концов хоть мобильные платформы...
    ну детекцию сплоитов под линь я готов поддержать хоть сейчас. мазы нет. никто его не атакует все равно. FreeBSD - с точки зрения атаки очень близко к лини. но опять-таки сплоитов нема. мобильники - да, я готов их поддержать. смысл? публичных сплоитов куча, подвержденных атак - за отсутствием таковых. QNX - не видел на рабочих станциях ни разу. не знаю у кого она используется. и даже очень "толстые" клиенты типа оборонщиков или летунов не просят ее поддержать.

    > Ведь достаточно соединить мобильный телефон, и на нем pdf reader.
    > Какой нибудь обрезанный Linux для мобильной платформы.
    > Процессор будет совсем ведь другим...
    еще одна сферическая лошать... легче уж виртуалку поставить. или последние патчи. и кирдык хакерам. кстати, при попытке запуска неподписанных exe вы видите ругальство. зачем его игнорируете? а щас примеры подписанных троянов в студию. кстати, такие есть. но юридически их троянами назвать нельзя. потому их никто не детектит. по политическим соображениям.