Попытался устроиться в др.Вэб

А у тебя какое ТЗ было?

 

artkar
1) Нужен был дамп и AIT
2) Надо было проанализировать вирус, то и есть что он делает, а не сказать что работает он или нет, ты ведь не на тестироващика ...

 

То же самое.
Вири неработоспособные, да, причем функциональность им, похоже, отрезали специально. Что в принципе нестрашно, поскольку оба баяны многовековой давности.

 

Вы не знаете про существование VMWare и аналогов?
Почему ничего не настроено заранее?

 

А на кой чёрт настраивать заранее????

 

Потому что устройство на работу в "АВ лаборатории" предполагает что чем-то
подобным, реверсом, человек занимается на постоянной основе ради интереса например,
соответственно у него все настроено и отлажено, ну или по крайней мере у него есть мозги
чтобы понять что от него могут потребовать при приеме и подготовиться.

 

Ну это стопудово за 3-и час я бы не успел+ джава скрипты, кстати их кто-нибудь раздраконил?

 

Во! Во! чё им взбредёт в голову спросить? Может ещё и скакалку купить, а то вдруг спросят:
"-А можеш на одной ноге 100 раз пропрыгать?
-Легко!
-А скакалка есть?
-Две
"

 

Ради интереса, на постоянной основе, я никак не могу заниматься, хотя бы потому что у меня нет столько времени и источника свежего материала как в АВ-компании.

 

На постоянной основе не значит ежедневно

 

artkar

Нене, Астерикс прав - челу, работающему с вирусами не иметь готовые виртуалки это всеравно что программеру на С++ под винду не иметь студию.

 

Астерикс как всегда прав.

artkar Как вы к ним обращались я тоже хочу попробовать

 

http://company.drweb.com/careers

 

JCronuz отпишись какое задание там и если можешь образцы скинь как arktar. Интересно для себя поковыряться.

 

ТС просто признай, что такой работник фирме не нужен. Причина не в фирме, причина в тебе. Ищи другую работу (вакансия дропа всё ещё открыта).

 

Признаю!
Давай сколько платишь? (только публично озвуч цену)

 

UnpackMe было легкое до безумия: ставим bp после loop'ов, траcсируем (заняло около минуты). Затем, просматривая код, видим прыжок на OEP:
00490B52 JMP EDI

Анализ вируса в ИДЕ: достаточно посмотреть на:
a) строки
б) sub_410765
чтобы понять, что он делает.

Ну и JS: набор эксплоитов (GOM Player, Quick Time и т.д.). (См. eval(). Советую использовать malzilla).

Если честно, думал, что там будет что-нибудь сложное (Themida как прот, TDSS как сэмпл).

 

Респект!

как ты распоковал? Поделись методологией
я думал что они что они дропают winahwe.exe и winyybs.exe на С: ?

 

artkar
по скрипам -- откройте для себя http://jsunpack.jeek.org -- распаковывает. проверил я и свой анпакер. распаковал со свистом. дальше отработал flips, показав какие уязвимости эксплуатируются.

в принципе, скрипты достаточно сложные. я бы оценил сложность на 3 по пятибальной шкале. это для меня они простые, поскольку скрипты -- моя узкая тема, которую курю и с ходу вижу и самоконтроль и антидебаг и кучу еще всего (даже мой распаковщик их распаковывает только в режиме буферизованной трассировки).

с другой стороны, умеючи скрипты с чистого листа (без собственного инструментария) распаковываются за десять минут (если интересно объясню как)