Что в себя включает работа вирусолога или вирусного аналитика?

Clerk

Они интересны, но не так доступны как Вам, я бы с удовольствием изучал/изучил, но вот напасть, незнаю как к ним подступится, а у Вас совсем другие проблемы, другим чужие проблемы не понять, да чуствую что не нужно Вам это - плодить конкурентов или же наооборот будет спросить у кого?

 

Кто бы это мог быть...

 

JCronuz
есть рку. есть сорцы 2к выни. смотрите в мсдн что вам надо, загоняете сорцы в сорс инсайт и раскручиваете. когда боле мене свободно будете - можно и более современные дизасмить
если вам это действительно надо и время и крепкое намерение есть. ибо возни

 

assasincore

ОМГ, ты всерьез думаешь, что картинка это и есть эксплоит???
Это скриншот кода эксплоита...

 

Я не смотрел в файл.... Я просто его открыл... )))
Крис писал, та все поломается, .pdf, "Вы наверное под LSD ". Та pdf эксплоит такое делает... Я ему предложил вариант, где не надо детектить всякую чушь... Координально новое решение. Он мне начал отписываться что я якобы под LSD. А прислать нормальный .pdf exploit он уже не может.. Либо у него их нет(тогда он их наверное и не мучал). Либо он дал попятную... А это картинка трех летней давности...
Короче Крис Лично я вижу только "громкие" слова....

 

Че позволяет. Но дело то не в этом. Мне exploit как бы и не нужен...
Просто Крис кричитпишет что exploit под .pdf есть одно из самых сложный и переспективных. Я же говорю что смысл их детектировать очень слаб(Я писал решние что бы не детектить а убить идею exploit .pdf(JS) на корне). На что мне ответили что я под LSD. Вот я и предложил.. Он мне exploit, а я делаю скрины.... Если есть скрины значит хак небло, соответственно я не под LSD. "Если же наоборот, то пойду наверное к врачам... "

 

П.С.
Меня просто достали это ГРОМКИЕ высказывания...
Примеры ?
Да из либой ИТ сфере....
C# скорость поднятий в 4.0 будет такой же как и у нативщиков.... Такая же?
"Linux в новой версии будет лучше Windows" НИ РАЗУ НЕ ЛУЧШЕ..... Без инета делать не*** . Инструменты какие то любительские(MySql и все такое не в счет. так как это для сервером, да это командная строка, я против консоли ничего не имею, просто написать такое проще. Да MS SQL, ORACLE все равно будут лучше... )
MC во много хуже FAR.
Отладчик так это совсем жесть....
Можно долго перечеслять...
Вот и в VX мире. Тех кто говорят, просто говорят, а на деле получается совсем другое...

ХОЧУ ДОКАЗАТЕЛЬСТВ....

 

assasincore

Эм, простите за нескромный вопрос, а кому вы нужны чтоб вам чтото доказывали?

 

assasincore
> Крис писал, та все поломается, .pdf, "Вы наверное под LSD ".
> Та pdf эксплоит такое делает... Я ему предложил вариант,
на счет lsd -- см. контекст. pdf ничего не делают кроме того, что дырявят систему, позволяя передать управление на произвольный код. за сим все.

> где не надо детектить всякую чушь...
а обновиться не проще?

> Координально новое решение.
осталось подсадить на него юзеров. причем, не одного, а всех сразу.

> Он мне начал отписываться что я якобы под LSD.
> А прислать нормальный .pdf exploit он уже не может..
под линь? да, под линь не пришлю.

> ибо у него их нет
ща блин.
var num = 12999999999999999999888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888
util.printf("%45000f",num);

на лине созать pdf не проблема. вот и воткните в него такой скрипт. посмотрите на результат (ес-но на непатченном акробате/ридере).

> А это картинка трех летней давности...
первое что попалось в гугле. а так - секьюрити фокус, милворм, метасплоит... только говорю сразу - все это виндовое. под линью, очевидно, не запуститься.

> Короче Крис Лично я вижу только "громкие" слова....
громкие слова о чем? о том, что pdf это жопа? так это не громкие слова, это рыдания и жалобы на сложность разбора pdf с последующим анализом обфуцированных жаба скриптов...

> Но дело то не в этом. Мне exploit как бы и не нужен...
если он вам "как бы и не нужен" - зачем вы просите его прислать?

> Просто Крис кричитпишет что exploit под .pdf
> есть одно из самых сложный и переспективных.
в сравнении с .exe да, потому как .exe можно банально не запускать. а вот не открывать pdf'ы -- а зачем тогда вообще мне гугл?!

> Я же говорю что смысл их детектировать очень слаб
1) мне это интересно;
2) кастомеры это хотят;
3) под это дело выделяются ресурсы и бабки;
4) детекция pdf - бузз-ворд. маркетологи с ним флиртуют во всю;
5) лично я в антивирусах смысла вообще не вижу никакого и не юзаю их
6) истина в вине. все остальное - лажа

> (Я писал решние что бы не детектить а убить идею exploit .pdf(JS) на корне).
скажите это адобе. единственный легитимный pdf с js который я видел - это бланк патентной заявки. ну js еще ладно. а вот swf очень в pdf нужен, да? а все остальные расширения?

> На что мне ответили что я под LSD.
ну дык. потому что в реальности юзеры сидять известно под чем и юзают известно чего.

> Он мне exploit, а я делаю скрины....
какие скрины мой вы хороший?! обновитесь до последней версии и все. и нету проблем. 99% хакеров вас просто пошлют на хрен. ну нету у них мазы вас атаковать. а если хотите доказательств... www.sensepost.com эту контору я знаю лично. они вас запентестят. быстро, надежно и дешево.

> просто достали это ГРОМКИЕ высказывания...
меня тоже...

 

Крис
Сложность разбора это совсем уж другое... А если не запускать .exe файл, то разбирать его не надо? .sys ? Какой то с виртуальной машиной .... проще?
Прыжки по командам(а ведь IDA pro не справляется, OllyDbg вообще может про**бать и не трасировать ... )....
Виртуальная машина написанная каким нибудь "школьником" у которого смотреть код на "С" убийство...
Перментация...
Криптор...
А если посмотреть то что делает .Net ? При первом старте функции компиляция, а потом готовая сборка... Что будет в себе дамп содержать? А еще лучше функция после отрабатывания будет удалятся...

+1, просто обычный люди... Им немного трудновато...

Факты приведешь? Чисто по приколу... А то меня лини девелоперы задрали...

 

Код (Text):

1. assasincore
2. System developer

У вас в блоге системного только скрин Криса, как Вы вообще можете от него требовать доказательств?!

 

JCronuz
Времени нету что то нормального написать... Просто переехал в другой город, довольно тяжело, времени не хватает...

 

П.С. Зато начал жить сам, без родителей... ))

П.С. П.С.
JCronuz Я не требую, а прошу, так как мне линь не очень нравится, то естественно хочется на работе по затыкать рот линям. Но в лине особо не секу(ну понятно что поставить Linux могу(Gentoo), и пару команд знаю) , так что это скорее просьба...

 

assasincore
> П.С. Зато начал жить сам, без родителей... ))
во, это правильно. тяжело это будет потом, а пока все должно быть по приколу. а приколы у нас серьезные. как вам нравиться это?!

http://www.adobe.com/support/security/bulletins/apsb10-09.html

_такое_ кол-во дыр и практически все исполняемые. и ведь даже жабу уже не отключить, т.к. эксплутация идет в обход ее. можно, конечно, обновиться, только адоби так изуродовала последние версии ридера, что это надругательство сплошное получается. йаду мне йаду!!! хочу умереть позитивным.

да и еще google under attak в самом гугле наберите (в новостях).

> JCronuz Я не требую, а прошу, так как мне линь не очень нравится,
> то естественно хочется на работе по затыкать рот линям.
ну вот пришел боевой сплоит и для линя. такой термоядерный pdf. хотя распростанять его я не имею права, но подозреваю что на всяких малваредомайнлистах он уже есть или скоро появится.

как обычно: если вам что-то нужно -- попытайтесь сначала это найти самостоятельно в сети (и ведь на водку уже дали), ну а если оно вам не настолько нужно, чтобы искать... мне тем более не интересно его высылать.

> Сложность разбора это совсем уж другое...
> А если не запускать .exe файл, то разбирать его не надо? .sys ?
о чем я и говорю. что отказаться от запуска exe можно. перестать обмениваться документами - нет. если вы HR и я вам свое резюме прислал? или презнентацию? в каком формате? да в любом. от swf до ppt и pdf.

кстати, с учетом того, что шелл-код обычно скачивает exe/sys, фаер так же это может блокировать (если exe не сильно круто зашифрованный)

> Какой то с виртуальной машиной .... проще?
там тоже есть дыры. и дыр там этих...

> Прыжки по командам (а ведь IDA pro не справляется,
> OllyDbg вообще может про**бать и не трасировать ... )....
под сложностью разбора я имел ввиду парсинг pdf с поддержкой всей хрени, что в нем есть. по сравнению с этим разбор exe - детские игрушки.

> А если посмотреть то что делает .Net ?
а если посмотреть что делает swf?

> При первом старте функции компиляция, а потом готовая сборка...
во-во. компилирует код в память. кстати, хром тоже компилирует.

>> истина в вине. все остальное - лажа
> Факты приведешь? Чисто по приколу... А то меня лини девелоперы задрали...
какие именно факты? что софт дырявый как ведро без дна? тут приятели пищут бортовой софт. для боингов. не знаю как с аэробусами, но по их словам индуский гуано-код в боинги уже проник, хотя пока ни одного случая катострофы боинга из-за ошибок в софте не было зафиксировано, но софт резко усложняется и последние крупные катострофы по вине летчиков привели к тому что вера в софт и автопилоты укрепилась и на него возлагаются все более серьезные задачи. и к чему это приведет блин... хотя имхо это все же лучше, чем как с президентом польши. человеческий фактор, блин.

 

kaspersky

http://wasm.ru/forum/viewtopic.php?id=37048
Хороший антивирь такой..

 

kaspersky
Если в McAfee такие классные специ и технологии, то когда вы уже перейдете от теории к практике? А пока у McAfee хорошо получается только вынос системных файлов с машины пользователя.

 

dermatolog
> Если в McAfee такие классные специ и технологии,
> то когда вы уже перейдете от теории к практике?
вы меня об этом спрашиваете? или это риторический вопрос такой?

> А пока у McAfee хорошо получается только вынос
> системных файлов с машины пользователя.
да я уже понял, что по вашим понятиям мыщъх за всю компанию в ответе.

 

kaspersky
Не за всю, а за код. Есть например экзешник криптованный, отморфленный или пр. Как вы опознаете в нём виря ?
Думаю сейчас вы скажите что стягивать исполняемые модуля, а темболее запускать их не тру и должно блочиться. Почему контора до сих пор не может прицепить простейшую вм. Столько шарящие кодеры, а собрали древний сигнатурный детектор, который тупо наверно базы свои сканит на строки. Вот это не понятно.

 

Clerk
> Не за всю, а за код.
за свой код я готов ответить, хотя в нем баги так же имеются в кол-ве намногим больше одного.

> Есть например экзешник криптованный, отморфленный или пр.
> Как вы опознаете в нём виря ?
мы непосредственно с exe не работаем. нам ближе html, pdf... а там жаба скрипты. отморфленные. криптор верхнего уровня в общем-то произволен. сервер генерирует скрипты, выбирая случайный расшифровщик из многих. ну и сам расшифровщик подвержен определенным вариациям. если его выполнить на виртуальной машине (чему скрипт отчаянно сопротивляется используя кучу трюков), мы получим следующий скрипт, который уже проводит распыление хипа и эксплуатацию уязвимости... кстати, уже появились публичные жаба-скрипт анпакеры. и работают они совсем не так, как распаковщики исполняемых файлов, хотя некоторая переемственность в идеях конечно же наблюдается.

что же касается распознавания вирусов в машинном коде. у McAfee куча движков. мой движок описывает алгоритм. типа что мы вообще ищем. то есть если (грубо) мы ищем l1: xor [reg32], key/next reg32/branch l1 то найдется в т.ч. и xor [eax], 66h/sub eax, 1/loop l1, хотя вот уже l1: lods/xor eax, key/stos/loop l1 пока находится как нечеткое соотвествие, т.к. трансляции в промежуточный микрокод с его сверткой на графах у меня до сих пор нет (м.б. и будет, но не скоро). с другой стороны, я уже давно не ищу последовательности байт.

> Почему контора до сих пор не может прицепить простейшую вм.
я не в курсе как устроен McAfee AV (тем более, что у McAfee намного более одного движка), но виртуальная машина у нас есть. у меня она есть собранная в виде отладчика-эмулятора, который, кстати, писал русский программист.

> Столько шарящие кодеры, а собрали древний сигнатурный
> детектор, который тупо наверно базы свои сканит на строки.
ну формат сигнатур McAfee даже запатентовала и он есть на патентшторме. там не самый тривальный алгоритм поиска. хотя и не самый продвинутый. за последние годы алгоритмы поиска существенно "подросли".

> Вот это не понятно.
мне вот непонятно почему у нас время поиска O(N), где N - кол-во сигнатур в базе. и даже хуже, чем O(N), хотя исходя из самых общих рассуждений вытекает, что даже O(log N) это уже тормоза.