Попытался устроиться в др.Вэб

Тема в разделе "WASM.HEAP", создана пользователем artkar, 16 мар 2011.

  1. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    LMaster
    > eval().
    не рекомендую. перехватить eval можно, но так же можно написать код типа следующего:

    function foo(bar)
    {
    eval('baz = bar');
    return baz;
    }

    сравните результат до и после перехвата eval. куча хакеров использует этот трюк. и вообще eval это не модно. см. jsfuck. а еще есть Function. т.е. нужно перехватывать два конструктора и eval (не говоря уже за разновидности eval'а доступные уже в браузере).

    проще трассировать расшифровку строк. универсальней.
     
  2. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    kaspersky
    Можешь написать в отдельной теме, например в разделе RESEARCH. На примере того скрипта, ну либо другого - как хочешь. Народу будет интересно. Да и вообще, по-обсуждаем интересную тему.
     
  3. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    TermoSINteZ
    > Можешь написать в отдельной теме, например в разделе RESEARCH.
    нам с тобой это точно неинтересно, ибо все это мы видели, курили и нюхали. а вот что интересно народу -- это вопрос. готовые инструменты или общие принципы? что-то тема скриптов тут не вызывает всеобщего ликования.

    jsunpack распаковывает это благодаря стечению обстоятельств. в скрипте есть 'arguments.callee.toString' как ключ расшифровки. возвращаемый результат зависит от браузера. для разных движков он будет различным. в данном случае нормально работает SpiderMonkey и v8, но ряд скриптов распаковываются только под IE для которого написаны.

    мой скрипт анпакер не зависит от движка (в отличии от jsunpack) и замечательно отработает и с CSCript, что есть stand-alone реализация скриптового движка от IE. на нем же распаковываю и VBScript.

    а если скрипт заточен под сафари или оперу -- на этот случай у меня предусмотрен iCap механизм для распаковки в готовом браузере.

    jsunpack в сорцах. у меня примерно так же все и работает, только сразу сделан упор на независимость от движка и предусмотрена возможность работы в готовом браузере (включая pdf плагины к браузеру, если это скрипт для pdf).

    ЗЫ. деобфускация флеши _намного_ более интересна кстати ;)
     
  4. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    kaspersky
    В принципе ты прав. И написал сейчас исчерпывающий ответ. Но посмотрим, что скажет народ. Может ему интересно именно ручная распаковка, а не с помощью эмуляторов и анпакеров.
     
  5. intel_x128

    intel_x128 New Member

    Публикаций:
    0
    Регистрация:
    17 май 2009
    Сообщения:
    345
    TermoSINteZ, kaspersky
    В данной ветке народу интересен заработок ;).
    Будет очень познавательно, если Крис расскажет о том, как он проходил собеседования в разные компании, какие вопросы задавали, какая царила атмосфера при общении, опишет интерьеры в деталях, расскажет чем, кого и как давят на собеседованиях.

    Очень хочется послушать, как устроился в жизни сам Термосинтез, в какой компании работает, а если это закрытая инфа, то хотя бы как в данной компании проходят собеседования и как собеседовали его.
    Судя по посту, когда-то ведь ты искал работу и оббил пороги далеко не одной компании в Питере.
     
  6. LMaster

    LMaster New Member

    Публикаций:
    0
    Регистрация:
    31 янв 2010
    Сообщения:
    14
    JS гуглится в интернете. Смею предположить, что это какая-то связка. (Пруф)
    Залил на pastebin распакованный JS (с комментариями). Если где-то накосячил - поправляйте.
    http://pastebin.com/v3bDjKm7
     
  7. mosk

    mosk New Member

    Публикаций:
    0
    Регистрация:
    6 окт 2010
    Сообщения:
    141
    Он об этом писал. Гуглите.

    Работает вместе с Крисом в МакАфи. Собеседовали, скорее всего, так же как Криса.
     
  8. artkar

    artkar New Member

    Публикаций:
    0
    Регистрация:
    17 авг 2005
    Сообщения:
    400
    Адрес:
    Russia
    Да, я знаю про jsunpack, но решил не писать в ответе так как реально-то не шарю в скриптах.
    Про распаковку (без собственного инструментария) было бы интересно, я уже писал как то тебе пост про это...И думаю многим тоже.
     
  9. artkar

    artkar New Member

    Публикаций:
    0
    Регистрация:
    17 авг 2005
    Сообщения:
    400
    Адрес:
    Russia
    Это я думаю следующий этап после ручной распаковки.
     
  10. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    mosk
    Уже нет. Отошел от подобного рода дел, на неопределенное время.
    intel_x128
    Приват инфа. А так как пороги больше не отбивал - и уже давно, то рассказать больше нечего.
     
  11. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Макафи, интел вроде купила, теперь у вас есть доступ и к разрабатываему железу, насколько я понимаю. Хардварный антивирусник, вы там случаем не готовите представить миру? По джава скриптам, подробный тутуриал не помешал б, интересны, конечно принципы, нафиг автоинструменты... Типа Нарвахи, очень познавательно.
     
  12. Clyde

    Clyde New Member

    Публикаций:
    0
    Регистрация:
    29 мар 2009
    Сообщения:
    154
    99% что скрипты это бывшая связка el fiesta
    малзиллой декодятся за пару секунд, на самом деле, современные эксплоиты обычно доставляют гораздо больше проблем в плане снятия обфускации.
     
  13. artkar

    artkar New Member

    Публикаций:
    0
    Регистрация:
    17 авг 2005
    Сообщения:
    400
    Адрес:
    Russia
    Чёта Крис пропал с обещаным мануалом по скриптам??? Также внезапно как и появился...
     
  14. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    Clyde
    > малзиллой декодятся за пару секунд,
    нах малзиллу. она привязана к движку. а скрипты зачастую заточены под конкретный движок. руками эти скрипты распаковываются быстрее, чем скачивается малзила на гигабитном иннете. 49 символов. кто короче?

    для MS JScript:
    -----------------
    добавить след. строку перед началом скрипта:
    o=eval;eval=function(a){WSH.Echo(a);return o(a);}

    $CScript.exe name_to_unpack.js > out (CScript.exe входит в дистр начиная с 95 винды)

    для SpiderMonkey и v8:
    echo o=eval;eval=function(a){print(a);return o(a);} > 1.js
    js.exe -f 1.js -f name_to_unpack.js > out # spidermonley
    shell.exe 1.js -f name_to_unpack.js > out # google v8

    ес-но, это только для eval. не все скрипты так распаковываются. но по любому, полагаться на малзилу нет смысла. универсальные распаковщики пишутся руками быстрее, чем скачивается этот стафф...


    > на самом деле, современные эксплоиты обычно доставляют гораздо больше проблем в плане снятия обфускации.
    это верно. чего стоит только один контроль версии (зачастую завуалированный). если версия не та, которую хочет скрипт, то он просто отваливается.

    artkar
    > Чёта Крис пропал с обещаным мануалом по скриптам??? Также внезапно как и появился...
    что-то не помню, чтобы такого обещал... я ж говорил, кворума нет ;(
     
  15. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    А это как давно было? Разговора по теории не было совсем, просто задание на распаковку и анализ?
     
  16. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    oldnoob
    ммм когда, не помню. По теории вопросов не было, только по резюме вопросы были.
     
  17. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    Я просто удивился, они сейчас сидят в БЦ класса "А", откуда там комната с убогой отделкой. Может давно дело было.
    А у тебя был в резюме опыт связанный с вирусами, обратным проектированием, распаковкой или просто опыт программирования?
     
  18. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    oldnoob
    Были все эти опыты в резюме.
    БЦ класса а у них на первом этаже - это да. Но туда куда меня приводили - было другое. Хотя мож уже изменилось что. Хз
     
  19. EOT

    EOT New Member

    Публикаций:
    0
    Регистрация:
    16 авг 2010
    Сообщения:
    181
    TermoSINteZ, взяли вас в итоге, не?
     
  20. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    EOT
    Конечно не взяли. Я ж в первом посте своем писал почему.