SF - в области реверсинга - $70k - вопросы к Крису)

kaspersky
Крис, спасибо за хорошие описания актуальных задач. Не так, чтобы они были новыми: анализ, автоматизация, отладка. Просто интересно все это было узнать с передовых.

 

Простите, не в состоянии осилить ввиду глубокой ночи, но судя по первым пяти строкам юмор низкопробный, а закончиться все должно моралью "не пробовал - не суди"... правильно еще сам Крис в какойто книге писал ..." с чем не работал - говорю сразу неработал..." как то так..
по сабжу опять пример тот-же kaspersky почитай ТС в викепедии, ему еще долгих 10 лет потребовалось в реверсе чтобы добиться успеха , когда чел уже в 7 лет смостерил приемник... а вы хотите сразу себе цель поставить изучать ради выгоды, цель имхо у вас слишком завышенны.
если не получаеться - отдохните, поиграйте в Готику\etc.
некоторые епть ждут годами заволявшиеся на полке книги чтобы их прочитать и понять а до того времени курят книги по слабже)
а пока хотети быть как Крис - пов4444ай стока скоко он) и тода м.б у вас и получаться чтонит)

 

Не холливара ради, но интересно, какой дистр в основном используют у вас? Просто интересно

 

- Берите пример с Криса. Он настоящий мужик.

- Вот вот и я об этом не раз писал. Причем это относится не только к руби, ну и ко всем языкам, и ОС'ям.

- Не совсем так сэр. Компиляторы бывают разные, черные, белые, красные...

- Крис, хватит нервничать)) Ему не понятно. Это факт.

- Вот поэтому языки нужно испозовать "по назначению". Вам уже подробно описали зачем нужен Руби.
Хотите производительности, не слезайте с ассемблера

Интересный вы человек однако. Все на чем вы кодите не гуан, а все остальное - ето гуан. Детский сад...

- Ура тщерт возьми!.. Я не идиот потому что люблю кодить на руби и работаю в Аверской компании...

- Да так оно и есть.

- Ага да продолжайте в том же духе "самурая" долбать всем мозги своим флудопастом.
Листья на дереве тоже просто так не не растут. И люди гениями тоже не рождаются

- Интересно, интересно.... И какая это "прога"? Лучше покажите все это на деле. На словах и я могу много чего.
Реально покажите. А мы оценим.

Насколько я знаю. В McAfee большинство машин работает на RedHAT и его производных.

TermoSINteZ, вы меня опередили. Действуете закону Гейтса : "В нужном месте, в нужное время"

 

Крис вы постоянно упоминаете девушку по имени Алис. Вы имеете Alice Chang ?)) Милашка кстати
Подцепить не хотите?))

- Ваш шеф Жейсон он больше на терминатора с ружьем похож
У него фотки прикольные))

 

CentOS - ГрошОсь, КопейкоОсь. ^)

 

Offtop
Satsura

ну вы даете! Сацура, к китайцам тянет?

 

kaspersky

>>> или можете реверсить сами. или кого-то нанять. или помедитировать
>> ... или послать манагера с его узкими представлениями как надо делать вещи.
> как я понимаю предлагать взамен вы ничего не собираетесь?

Ну отчего же - обычно у меня много идей... и большая часть - реальные краткосрочные проекты с вероятностью выхлопа. Возможно - я там не был - в McAfee пиплам с идеями зеленый свет, возможно.

Abstract. Сторонникам теории "Неуловимых Сверхмощных Антивирусов" Которые Многа Что Детектят.

Итак, некоторые (ex.: kaspersky, Satsura) травят тут про сучествование неких секретных антиВирусов, которые боже упаси не на паблик но детектят все подряд - а когда нету свежей малвари то развлекаюццо тем, что пишут новую и тоже ее детектят.

Аргументы "pros": "я лично видел," "как вы думаете чем защищают себя Крупные Корпорации - не тем же что для простых юзверей?!," "там используют AI но больше я говорить не могу - это секретно," "мой новый javascript killer" только что задетектил все четыре pdf сплойта из базы а вы представляете сколько ТАМ ОНИ детектят?"

Возможно я что-то пропустил - you are welcome.

Аргументы "cons": Их многа, поэтому расположим их в следующем порядке: наиболее часто обсуждаемый, затем - интегральные оценкци в хронологическом порядке.

Крис как самовызвавшийся представитель AV компании - вызвавшийся для дискусса - что в общем полезно - охотно отвечает на многие вопросы. В некоторых уверенных ответах местами даже проскальзывает недавно наработанный стиль менеджера.

Однако.

Однако неоднократно был спрашиваем нащот детекции конкретных сэмплов или триков. Ему давали пинч или типа того с триком впереди и пустой строкой напротев McAfee на вирустотале но ответ был всегда уклончивый и в общем-то верный - дескать от эмулятора и никто не ожидает покрытия всего что есть, "он нужен для другого".

Однако в свете "суперантивируса" или даже "негуанного" антивируса такой объяснений smells weird. Упорные попытки поговорить за экзюки Крис неизменно сводил к недавно обретенным жабоскриптам а про экзе ответ был неизменно - да чего там возицца-то.

Что ж, "настоящие мужчины" которые упомянуты на странице 6 этого короткого треда, не бояццо поговорить за жабопдф ф котором ничего не смыслют. Допустим некий spray внутри пдф но вперед идет проверка да не одна на браузер, на версии браузера на недокументированные ответы ... recently was discussed в теме "Вирусология" ... Как я уже грил - невыполнено - не распыляем на хип. Это все мулируецца? А если я найду еще 5 новых проверок?

4 сэмпла - они с обфускацией или без? Там в явном виде что-ли "...E800000051..."?

*** Исторический обзор последует в виде update. Слава воскрешему редактированию. 666. ***

Всякая крута технология имеет свое долгое развитие. Miracles do occure, но гигант осестроения MS все пишет и пишет ось без багов - уже 50-ти летний юбилей скора. Unix начался гораздо раньше и в него было вложено сотни идей тысяч пиплов. Что же мы имеем на Вирусном фронте?

Ментальность человеческая инертна и чаще всего исследования начинаются "слегка" позже чем проблема появилась. Вирусы как максимум 88-85 года а малварь вообще встала на ноги в конце 90-х. Мог ли кто-то, какая-то Крутая Организация, предвосхитить это?

Рассмотрим это на примере нескольких стран. Могли ли в коллапсирующей Совьет Раша понять что вирусы - это оружие нехуже чем нереальный Штирлиц и начать наработки (по защите тоже) еще в 80-х? Улыбаемся при оценке вероятности. Фильм про Электроника и Терминатора (машина выходит из-под контроля, машина больше чем машина) - было. Но глядя на ГОСТ который почему-то напоминает старый, 72, DES ... как тырили коды и чипы ...

Могли ли начать разработки столь рано в СШП? Хм. Почему бы и нет, я слышал у них CIA есть отдел "придурков" которые травят что они могут облака разгонять и т.п. - их держат и бесплатный морс на случай - а вдруг и правда могут? Они заарестовали Левина или как его там - и еще нескольких хакерят. Но они пропустили Морриса ... пока пусть будет непонятно. Однако подчеркнем что первые продвинутые полиморфы и так далее начались с начала 90-х, и это было все под DOS, а сеть была мягко говоря малодоступна парням из Раши (нужен прецендент).

Другие страны? Кетай? Китай хорош в криптоанализе, почему-то женщины (что будет с AES если начнут мужчины?). Однако в данном случае речь все-таки идет о Большой Теории и Проекте (чем еще может быть Настоящий Антивирус?) а не Одной Но Великой Задаче (Перельман может, но нет Перельманов среди менеджеров).

Таким образом предполагаем что если такие разработки и могли начаться ранее ~1990, то это могло быть только в USA, причем (sic!) без особых оснований - угрозу как таковую можно было только _ПРЕДВИДЕТЬ_.

Теперь переключаемся на известные АнтиВирусные _КОММЕРЧЕСКИЕ_ конторы. Как начинался Каспер, Вэбушка? На коленке, силами продвинутых одиночек чья сила была в-основном в понимании МОМЕНТА - вот оно, КОММЕРЧЕСКОЕ эльдорадо. Как там за три часа OneHalf'а - то проанализировали - и детекцию выпустили - только про шифровку секторов никто не догадалсо и действительно "у меня этот экплойт читает пэйлоад из инета а че он файловые дескры пребирает я хрен знает".

Мои знания про McAfee или Norton в период 90-х немного меньше чем никакие но про особые успехи я чей-то не слышал.

Таким образом без натяга можно сказать что коммерческие известные которых сейчас уже больше сорока включая всяких Панд девяностые провели стихийно развиваясь - безусловно улучшая свои детекции - но происходило это исключительно феноменологически - "чего вижу про то пишу" плюс известное коммерческое "лучше срубить бабок счас чем поиметь весь рынок завтра". Косвенным доказательством этого эволюционного развития может служить например чудовищное число чексум Каспера на которое жаловались все кроме провайдеров даже в 2000ые.

Да. Теперь зумируемся без особого риска на 2000-ые как на кусок времени где наиболее вероятно развивалсо этот "СуперАнтиВирус". Вернемся на секунд в 90-е и Омерику - а в Америке реально было хакеры и вроде Югославы даже пытались по сети отомстить за Слобадана - но это ХАКЕРЫ. Хакер может и вирус пустить, однако все же цель его другая. Вирмейкеров вообще не очень много. Так что да, я допускаю некие наработки еще в 90-х, но против проникновения.

Таким образом остаеццо чисто коммерческий рынок с виндовыми пользователями и AV которые пытаются их "защитить". Malware с черного рынка - спамботы и так далее - явно не собираются зохватывать для ботнетов компы в шестигоне. Выделят ли в Конгрессе бабло на Проект? Да они даже НАСА письку показали - Буш, спасибо - на Ирак бабло нужно.

*** Финальная часть про 2000-е и успехи AV-контор после следующего update ***

Так кто же ведет сейчас разработки в области детекции? Те же AV конторы! Я охотно верю Крису что к ним приходили из Правительства. Я слышал и про другие страны - Пентагон и другие МногоУгольники охотно прибегают к их услугам как к _ЭКСПЕРТАМ_В_ПОСЛЕДНЕЙ_ИНСТАНЦИИ - потому что другого просто нет! Гипотетически предполагаем чела уровня Зомбы ставшим патриотом ... "товарищ майор Пронин, мы тут один ботнет захачили, подпишите приказ ... - Понимаешь, такое дело ... я тут недавно откат от SEO получил ... поработайте пока над афторанами на VB".

Члены Каспера участвовали в качестве свидетелей против каких-то хакеров ... нет, не "товарищ майор".

Что же за уровень экспертизы могут дать ведущие компании? Ну если верить опять-таки Крису (а другие просто ничего) - то он счас работает над инновацией по скриптам. Это говорит нам о 1) Никаких аналогичных разработок у них до не было; 2) Спецов по этому у них тоже не было; 3) ...

Можно предположить что сучествует другой метод (секретный! О_о) борцов с малварью - Знание. Можно не знать какая малварь будет завтра, но можно знать ВСЕ "хорошие" программы и просто ... не пущать все которые не такие. Suspicious.Insight! ... несомненно вышел в топ но все же его недолгий полет был прерван.

Это - имхо - единственное РЕАЛЬНОЕ что может предложить Корпорации AV Контора. Но и тут видимо не все ништяк - противные протекторопейсатели выпускают новые версии которые не распаковываются ... да.

До сих пор много уязвимостей находится любителями ... сначала появляется сплойт а только потом - детекция ... потому что AV конторы бессильны искать уязвимости лучше и _опережая_.

McAfee и иже с ними не брезгуют чексумами ... до сих пор ... почему?

На вирустотале можно было б поставить "СуперАнтивирус" и иметь 100% детекцию (без раскрытия секретов) - и все кастомеры твои - но этого тоже нет ... почему?

With regards,
PSR1257

 

Ещё раз. Крис не разрабатывает антивирусы. Он разрабатывает такую фигню которую можно обозвать сканером. Эта программулина устанавливается на сервер и фильтрует входящий поток данных, если у нее возникает подозрение на счет безопасности входящих данных, она выводит на терминал техникал сержанта (если дело происходит в армии) красную надпись ALERT и ссылку на то что у нее вызвало опасение. А дальше этот сержант своими ручками (или отправляет тем кто сможет) определяет представляет это опасность или нет. Короче, если разговор зашел про военных, то эту программулину можно сравнить с радаром, т.е. радар показывает что что-то залетело, а что именно военные должны определить самостоятельно.

Так, Крис?

 

dZentle_man

Для этого всего лишь надо, чтобы уволили предыдущего. Или чтобы он сам сбежал. Программистов иногда берут на работу "впрок" больше, чем требуется, а вот админов - ровно в том количестве, какое нужно. Или меньше. Но никогда не больше.

 

Ну как бы то ни было не срослось, а теперь не особо и надо.

 

PSR1257

Согласен.

 

При всем уважении, так он вам и сказал что за трюки. Не раз и не два было сказано, что расчет делается на военную хитрость, на что-то, что злоумышленник даже не догадывается скрыть.

 

dZentle_man
Вобще я считаю что уровень его защиты для скриптов такойже, как у их авера. В теории много красивых слов, на практике это гуан как обычно.

 

Ну сложно возразить против довода "я считаю"... Я например считаю что руби гуан, при этом находясь в той же ситуации - ни разу не потрогамши его за вымя) Но ладно, хрен с ним с руби, любой нормальный человек понимает что оно гуан , но вот что касается техник криса обнаружения и защиты... Пускай тут каждый наверное считает меня нубом, но я еще не видел ни разу чтобы он бросал слова на ветер, скорее наоборот - в каждом слове мудрость необычайная.

 

центос хорошая ось .. как по мне доведенная до ума шапка, по поводу жабоскриптов ну человек делоет то за что ему платят .. не вижу причин для говносрача, ну и то что реального решения аверского в ближайшие годы не будет это факт

а вот по поводу дзентельменом всяких там резюме .. угомонись школота и практикуйся твой уровень слишком низок чтобы даже в гуано аверских конторах работать

 

Слышь, умник? Ты название ветки читал? Да? Там что-нибудь было про вопросы к слону? Нет? Ну и хорошо.

 

поддерживаю мамонта

чтобы куда-то лезть -- надо чего-то уметь, знать и т.д..
иными словами не лезть со свиным рылом в калашнай ряд (впрочем и в калашном ряду есть такие же рыла, но все-таки).

а то как в рунет школие лезет с нулеными двигами, не настроенными и с ворованным контентом -- и сразу думает что щас полезет тиц, пагеранк и юзвери десятками тысяч в сутке. а там хрен ночевал.
и через месяцок-другой мытарств школьник свой "портал" как правило забрасывает.