Что в себя включает работа вирусолога или вирусного аналитика?

Все же, Крис. Какова судьба TCP пакетной и javascript атаки на процессоры Core Duo?
По какой причине вы не опубликовали proof-of-concept?

 

ладно, думайте. Ваше право не отвечать.

 

Там что то с тем, что кусок когда опр. автора был запрещен к показу автором. Он писал когда то давно, когда его пинали ногами за это

 

кто запретил? У нас ведь свободная страна? Или нет?

 

... и кто пинал?

 

на месте Криса, я бы потребовал мега-бабла за молчание.

 

где-то миллиард зеленых

 

пинать его на территории России может только одна организация. И вы все это знаете.
ФСБ!!!

 

ок.

 

neutronion
По мойму вы слишком много вопросов задаёте, темболее тривиальных. Есть проблемы с распаковкой - брейк на стабы, шлюзы или хардварынй на стек, а затем бактрейс + трассировка. Всё чисто механически. Всем также лень как и вам это делать, темболее за вас, не понимая зачем это нужно.

 

TermoSINteZ

Зацикливание требовалось только в Soft-Ice. В OllyDebugger не нужно его использовать


neutronion

Ошибки свойственные вам(не рабочий дамп) возникают при не совсем правильной настройке PE дампера

 

На счет дампера - это если дампить чере PE Tools. Помнится что по-умолчанию не выставлены ключевые опции

 

JCronuz
кстати, по поводу дампа. есть идеи как сдампить адресное пространство с разрушенным хипом? VQEx уже не работает. читать постранично? это работает, но мне хотелось бы получить больше инфы о блоках, чтобы дапить только mem_prv блоки.

 

neutronion
> пинать его на территории России может только одна организация.
> И вы все это знаете. ФСБ!!!
а почему не моссад? мыслите масшбано и не слушайте журналистов. я никогда не говорил, что уязвимости были найдены мной, я с самого начала прямым текстом сказал, что лишь привлек внимание к этой проблемы. мой код базировался на коде, выдранном из малвари. теперь, начиная с октября месяца я могу говорить, что код не совсем "выдран", а любезно предоставлен мне селеной. вот только ползы от этого кода немного. он защищен. там виртуальная машина. селена предоставила бинарный р-код. и спецификацию на виртуальный цп. свою реализацию виртуальной машины я написал за ночь, но вот разобраться в p-коде у меня не получилось. а селена в последнюю минуту передумала его давать, потому как не дура. после _такой_ рекламы она торговала этим кодом со свистом (нет, не свисом навозной пули).

с октября месяца сплоит получили все заинтересованные лица. я к нему не имею никакого отношения. короче, не читайте советских газет перед обедом. и зарубежных газет тоже не читайте. но я таки вам скажу, что даже сейчас (больше года спустя) она ухитриряется продавать сплоит по $10k на одно рыло под неразглашение и нераспространение. у меня же никаких прав на сплоит не было и нет. со мной связываться бесполезно. как и просить связать вас с селеной. захочет - она сама вас найдет. она ж не дура и шифруется, предпринимая все меры безопасности. а я о ней даже не знаю кого я трахал. ее саму или ее подругу.

 

спасибо за развернутый ответ, Крис, грешным делом думал проигнорируете. На счет советских газет, я им не верю, потому и поинтересовался, зная, что вы сторонник открытой информации.
Я то, дурак, думал, что на территории России рулит ФСБ. (Банки в Техасе, могут
грабить только ребята из Техаса)
Кто такая селена, если не секрет? Контакты не спрашиваю, естественно так для общего развития. Она хакер?
Вы могли ее оценить, насколько она эксперт? Я спрашиваю потому как, думаю многим будет интересно узнать кое-что из мира харерства из первых рук.
Насчет уязвимости, я знаю, что первым говорили не вы об этом. В ссылке которую я дал, по-моему на странице 1 есть упоминание об этом человеке: Тео де Раад
в англоязычных источниках тоже об этом читал. Можете дать ссылку о какой виртуальной машине идет речь, я так понимаю точно не о VMWare или Virtual Box?
Скажите, пожалуйста, с правовой точки зрения, имеет право человек продавать
сплойт? Не попадает ли это в разряд распостранение вирусов?
О контактах я не спрашиваю, у меня все равно нет столько денег.
Вот опубликую фантастический рассказ, может и куплю себе эксплойтик . Общаясь на васм, фантастика под руками, ничего придумывать даже не надо.


Надеюсь своими вопросами я не задеваю, чьих-либо чуств. Если, что то как говорит Крис, дайте ему по наглым рыжим лапкам(аргументированно конечно)

 

На счет дампа, наверняка я что-то не так сделал, своими кривыми ручками.
Буду пробовать снова и снова. По диамату, должно получиться (количество->качество). Не смею более удерживать ваше внимание этой тривиальной
проблемой, дорогие форумчане.

 

neutronion
> Я то, дурак, думал, что на территории России рулит ФСБ.
я не знаю кто и кем и где рулит, но мной спецслужбы уж точно не интересуются.

> Кто такая селена, если не секрет?
брал у нее интервью, публиковал в хакер-спец. если найду статью у себя на флешках, то вышлю.

> Она хакер?
смотря что вкладывать в это слово. пишет руткиты. по законам ее страны это как бы не преступление. ну в ее стране вообще-то много чего не преступление. сам билл сказал, что в гробу он их видал и планов легализации винды у него нет. так прямо им на публике сказал. голос из зала: а у нас тоже нет таких планов. и зал заржал. любители разгадывать ребусы уже поняли, что за страна это такая

> Вы могли ее оценить, насколько она эксперт?
как она сама сказала: была бы она экспертом, не писала бы руткиты. но это она скромничает. талантливая девушка.

> Я спрашиваю потому как, думаю многим будет
> интересно узнать кое-что из мира харерства из первых рук.
в спеце были мои интервью со многими хакерами. как широко известными, так и знакомые только узкому кругу людей.

> Насчет уязвимости, я знаю, что первым говорили не вы об этом.
> В ссылке которую я дал, по-моему на странице 1 есть упоминание
> об этом человеке: Тео де Раад
угу. с него все и началось. он первый, кто осозал, что баги в цп можно использовать для их эксплутации. до него такие идеи если кому-то и приходили в голову, то не озвучивались. Тео высмеяли и обосрали. причем смеяли как обычно те, кто вообще ничего не сделал, но знает лучше других как это нужно делать

> Можете дать ссылку о какой виртуальной машине идет речь,
> я так понимаю точно не о VMWare или Virtual Box?
нет, совсем нет. это типа NAND или NOR. "типа" потому что там еще и XOR вставлен. в общем эмуляция ЦП, знающего всего одну команду. классический способ затруднить ревесинг. а поскольку эксплутация ошибки кэш-контроллера достигается операциями чтения-записи, то такой виртуальный ЦП даже не нуждается в гейте для общения с внешним миром. и анализ черного ящика не срабатывает. ему ничего не передается и ничего не возвращается, но после долгого долбания циклов неожиданно меняется содержимое посторонеего участка оперативной памяти, в котором исполняется l1: xor ecx,ecx/jz l1 и этот цикл неожиданно завершается. код движка идет ниже.

> Скажите, пожалуйста, с правовой точки зрения,
> имеет право человек продавать сплойт?
> Не попадает ли это в разряд распостранение вирусов?
я не юрист, но насколько я знаю законы там вообще нет понятия вирусов. но есть "вредоносные программы" и "сговор". короче, был бы человек, а статья найдется.

> Надеюсь своими вопросами я не задеваю, чьих-либо чуств.
да все нормально.

зы. прилагаю движок цп.


// the engine executes the virtual code written by Selena,
// nezumi has no idea how the virtual code works, however,
// nezumi redesigned the virtual machine from the scratch,
// so, the source code of the engine is free to distribute,
// however, micro.dat is not free to distribute, there is
// a legal issue. also, it works only for certain CPUs.
//
// because of nature of Selena (she is an underground person
// lives in the shadows), it's unlikely that she will sue you
// if you decide to distribute the code that belongs to her.
// however, better do not do it for any reason.
engine(dw *p, size_t n)
{
int a; dw f1, f2, f3, fn, f0 = -1; size_t dt = 0;
for(;
{
f1 = *(p + ((dt++) % n));
f2 = *(p + ((dt++) % n));
f3 = *(p + ((dt++) % n));

// vm + scrambler + dynamic encoder + multi-pass obfuscator
fn = -1 ^ (f1 ^ f2) + ((dt + f1) ^ f2) ^ f0;

// a few minutes to trigger this condition on 2.4 MHz PC
if ( ((f1 ^ f2) == 0) || (f1 ^ f2 ^ f3) == 0)
{
// a sync problem. it would be better to use locks over here.
// crash happens. crash is not shit. crash means code works.
// so, should be really care about the addr and the content?
// it works for Intel Core 2 Duo T5750. o_o 5 ~ 10 minutes of
// it gives BSOD on Intel Atom N270 cpu o_o less than an hour
f3 = (dw) &test; f1 = 0x90909090 ^ f0; f2 = (dw) &test ^ fn;

printf("\nWOW!\n"); // remove it, plz, it's too slow to work
} *(p + (f3 % n)) = fn; f0 = fn; /* f0 = fn ^ dt */ ;
}
}

 

Спасибо, Крис, за информацию. Спец - это в спец хакере вы публиковались или it спец?
В одном из журналов it спец, я по-моему читал о некой девушке, которая пишет руткиты
на заказ. Кажется за 2008 год. Была маленькая такая статья.