Видел сегодня Ильфака

Тема в разделе "WASM.HEAP", создана пользователем Rel, 15 май 2018.

  1. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    с аких пор спецслужбы стали легальным видом деятельности ???:) дажь сугубо на своей территории их действия зачастую располагаются в серой зоне с уходом во Тьму :grin: конечно, реверсинг == еть сущая мелочь в сравнение с прочими задачами.. Однако, твой ответ не принят.
    во-1ых, патентный троллинг всё же серое занятие. во-2ых, суду религия запрещает запросить у ответчика исходные коды.. с акого боку тута реверсинг нужОн ???:)
    и опять повторяюсь..
    те, кто на окладе имеют доступ к исходникам, тч им вполне хватает нормального отладчика. единственный стопудово белый реверс == еть проверять СОБСТВЕННЫЙ КОД на защиту от реверса. но по мне == еть идиотизм:laugh1::laugh2::laugh3:
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    я всегда использовал иду для только одной цели - реверс малвари, этим же занимаются сотрудники антивирусных компаний, безопасники в случаях инцидентов компьютерной безопасности и другие... как бы вполне легальное применение...
     
  3. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    реверс малвари вполне нормально делается отладчиком. основные вопросы малвари..

    1. аким дикобразом она запускается.
    2. аким скрывается.
    +++
    запускаются чрез инжекты аль мануально, а скрываются хуками апи == эти коды в основном довольно малого размера, что делает применение Иды эдакой поездкой за картохой на дачу на гелике :) роскошно, конечно, жить не запретишь, но реальной надобности Иды в белой зоне в сущности няма.
     
  4. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    к сожалению не всегда можно все что нужно понять в динамике, я юзаю куку сендбокс достаточно часто, но бывает патчу идой всякие алгоритмы для противодействия отладке или виртуальным машинам... понятно, что если тебе приходит по пачке разной малвари в неделю, то особо париться с анализом идой не стоит... но когда тебя просят детально разобрать и описать один семпл, то без иды не обойтись... и за это кстати платят существенно больше...
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    я никогда не работал на аверов, но предполагаю, что для того, чтобы заточить эвристику под определенный набор полиморфных семплов например, чисто динамическим анализом это не решить...
     
  6. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    а семпл в среднем аких размеров?
    малварю проще утопить в песочницах + ограничить длину строк в ipc & net и сразу ПОЧТИ все инжекты идут Лесом-де Садом.
     
  7. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    400кб наверное в среднем для си/плюсов, но надо понимать, что очень часто там статическая линковка с стандартными либами, плюс всякая чушь типа zlib, mbedtls, openssl и тд... последнее время часто попадались на дельфях семплы, там размер поболее, 1мб в среднем наверное.. ненавижу разбирать делфи, куча таблиц виртуальных методов, которые в перемешку с кодом, паскалевские строки, которые ида не очень хорошо понимает и тд...
     
  8. im.

    im. Active Member

    Публикаций:
    0
    Регистрация:
    16 сен 2017
    Сообщения:
    310
    На эксплоите сейчас малварь продают на донете и голанге. И это нередкость. А еще прикольно намутить на плюсах полиморфизм с NVM избыточным, попилить на мелкие методы, докинуть std::function с лямбдами. Прикольно такое реверсить наверное :) А потом берешь просто собираешь на gcc вместо msvc и там такой жестяк по бинарному коду, особенно х64. Сотрудники АВ часто к суициду прибегают? Есть стата? :)
     
  9. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    короче, малварь теперь прям в виде фреймворков.. раньше помнится за каждый байт боролись, а теперяча совсем стыд потеряли :)
    угу, нашёл суицидников == публику они на своих сомнительных поделках стрегут просто на ура :)
     
  10. superakira

    superakira Guest

    Публикаций:
    0
    UbIvItS, я предполагаю, что нет времени биться за каждый байт) все быстро меняется и сложность растет.
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    Ты что решил уйти в глубокое подполье ??? :)

    Во-1ых, рукописи не горят == вся инфа сохраняется дажь на меня… хотя в этом смысла-то особого и нет :)
    Во-2ых, если в таких делах и возникают проблемы, то уж точно не из-за поста на форуме.
    +++
    короче, не переживай :)