Хороший вопрос, кстати. К сожалению я уже дома и не могу посмотреть наши сорцы, но думаю, что ничего хорошего не будет :) Вопрос обхода...
Вот поэтому я сюда и захожу раз в несколько месяцев, т.к. школота не считает своим долгом обосновать мнение :)
n0name Короче, да, с nProtect'ом все понятно, наверняка автодятлом сделали сигнатуру украв детект, а оригинал тупо не знают. Что такое за продукт...
Понятия не имею, но есть даже заметка в блоге. http://www.securelist.com/ru/blog/32891/Packed_Win32_Katusha_n
Бл, что такое nProtect? :)
Наоборот, не детектируется упакованный nProtect'ом. Гляну чо там, перешлю кому надо, если что. Странно, эмулятор вообще-то мощный.
Можно детектить некие (условно назовем) паттерны вызова мусорных АПИ. 1000 раз GetDC() + еще что-нить или типа того. Это ненормально для "хороших"...
Предположим, что мы ставимся на зараженную машину. Никто уже не пытается ничего изменить, все уже давно захучено. Что дальше? :)
Нууу, не считаю, что эвристик должен орать на энтропию и рандомные имена секций и даже на мусорный импорт. Насчет эмулятора - хз, может все...
Это вообще не проблема, пойми ты, все эти технологии есть :) Ну и что нам даст получение точки в образе в памяти (без имен, без путей, без всего)?...
Да, редко я сюда заглядываю, школоты тут много :) Про бсодогенераторы: Потому что если уходить глубоко в ядро, то: 1) Унылые зависимости,...
Это, наверное, потому что нам на$рать на такие вот комментарии =) Клерк, ты (видимо!) никогда не поймешь, что такое продавать продукт. Какие...
Насчет анализа. Вся суть в том, насколько детальный анализ проводится. Если поверхностный - запустил, посмотрел в WinDbg, то на это много времени...
Гм, странно... Kernrate не очень удобен в использовании, но прочитав документацию я смог в нем разобраться и все заработало. Давно это было,...
А почему не Kernrate из WDK?
Еще забавно выслушивать людей, которые не могут и двух слов связать, не то что грамотно свою мысль написать или озвучить.
Это для тру-поцонов, ты что. Топик этот доставляет, в жизни таких людей встречал, в инете такие вот есть и все меня безумно радуют.
Мда, последняя страница обсуждений - сплошные меркантильные завистники богатым дядям на мерседесах. Вы мне противны... P.S. Я вот хорошо получаю,...
Неужели кто-то думает, что тот, кто знает - расскажет? :)
Очередной тред про зомбу, имхо =)
Имена участников (разделяйте запятой).
