# реверсерерам - исследователям и кодокопателям посвящается

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 4 янв 2010.

  1. Ox8BFF55

    Ox8BFF55 New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2009
    Сообщения:
    181
    И как они? Что реально хакерят? Или только что бы глаз радывать?

    Типо что бы работали?

    Может действительно стать "профессиональным" реверсером? Меня просто немного напригает постоянно писать сигнатуры. К стати только сигнатуры клипаете? или скриптинг(IDA), какие нибудь фичи, движки? Скорее всего каждый занимается своим.... Слышал что амереканцы любят проектами махнутся, ну тип что бы не надоедало(чето меня понесло).

    А винде под кернелом что узаете? Неужели "Сусер" Меня просто тормаза WinDbg(1394) достали...
     
  2. Folk Acid

    Folk Acid New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2005
    Сообщения:
    432
    Адрес:
    Ukraine
    А удаленщикам, получается, дают контакты этих девушек? Или все ограничивается доступом к приватным сплоетам Рутковской? :)
     
  3. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    Ox8BFF55
    >> в офисе или в самом городе? только в нашем тиме две девушкии-хакерши
    > И как они? Что реально хакерят? Или только что бы глаз радывать?
    ассемблер знаю, в vi работают намного быстрее меня, с идой дружат. реверсят очень быстро и клево.

    >> держат этаж выше.
    > Типо что бы работали?
    скорее тянут административную работу

    > Может действительно стать "профессиональным" реверсером?
    > Меня просто немного напригает постоянно писать сигнатуры.
    ну так не пиши. главное, разреверсить -- это самое трудное. сигнатуры тут есть кому писать. реверсеров не хватает.

    > К стати только сигнатуры клипаете?
    в том числе и. но не только. так же модули детекции рулят. инструменты для реверсинга девелопим.

    > или скриптинг(IDA), какие нибудь фичи, движки?
    все это есть и все это приветствуется

    > Скорее всего каждый занимается своим....
    > Слышал что амереканцы любят проектами махнутся,
    > ну тип что бы не надоедало(чето меня понесло).
    да, "летунов" тут гораздо больше, чем в россии. но у нас текучки нет. видимо ввиду специфики предметной области. а быть может и по другим причинам.

    > А винде под кернелом что узаете?
    у нас основной продукт - IPS. его от кернела отделяет слишком много слоев аюстракции. если это руткитс какой то его палим в том виде в котором он передается по сети.

    > Неужели "Сусер" Меня просто тормаза WinDbg(1394) достали...
    руткиты мы не отлаживаем. потребности пока не возникало. вот в HIPS тиме на соседнем побережье ими занимаются куда как более плотно
     
  4. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    Folk Acid
    > А удаленщикам, получается, дают контакты этих девушек?
    в одном тиме ж работаем. дают конечно.

    > Или все ограничивается доступом к приватным сплоетам Рутковской? :)
    с доступом к сплоитам у нас проблема. наш тим еще новый для McAfee, так что добычей сэмплов в основном приходится заниматься мне самому. благо свою распределенную сеть сенсоров я потихонью достраиваю. к концу года думаю покрыть десяток крупнейших стран. вполне достаточно для добычи свежей дичи. впрочем, поскольку, это делается на мою же зарплату, то это как хобби такое невинное у меня.
     
  5. stallker

    stallker New Member

    Публикаций:
    0
    Регистрация:
    9 май 2008
    Сообщения:
    360
    А какие инструменты там используют? Win/Lin
     
  6. Ox8BFF55

    Ox8BFF55 New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2009
    Сообщения:
    181
    Я так и резюме в контору вам отошлю....

    А еще вчера в Контору по железу заходил(присматриваю новый бук), так вот там на самом клевом мониторе(25 + сенсорный) стоит McAfee, так что походу что то у вас есть...
     
  7. PSR1257

    PSR1257 New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2008
    Сообщения:
    933
    Все верно :) И это выходит с налогами как минимум 8000/month. В России?! Позволю себе выразить мое скромное мнение - ты бы так легко от таких зарплат не уехал бы :derisive:
     
  8. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    PSR1257
    Вы правы, в России от таких зарплат не отпускают :). Точнее отпускают, но в мир иной.
     
  9. calidus

    calidus Member

    Публикаций:
    0
    Регистрация:
    27 дек 2005
    Сообщения:
    618
    =) а почему тему завели тут а не скажем на краклабе?!
     
  10. J0E

    J0E New Member

    Публикаций:
    0
    Регистрация:
    28 июл 2008
    Сообщения:
    621
    Адрес:
    Panama
    Это же первый пост по теме топега!!!111 )

    Почему так? по-моему это вполне элементарная работа, в том смысле что не требует каких то особых знаний, способностей. Усидчивости и внимательности - да, и в теории женщины должны подходить лучше. На практике видно, что мало кто справляется. Парадокс. Может быть, нужна хорошая интуиция?
     
  11. crypto

    crypto Active Member

    Публикаций:
    0
    Регистрация:
    13 дек 2005
    Сообщения:
    2.533
    J0E
    Это Ваше личное мнение подкреплено богатой личной практикой?
     
  12. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    последняя практика говорит о том, что интуиция крайне важна, если хочешь более-менне быстро отыскать нужные данные %)
     
  13. Ox8BFF55

    Ox8BFF55 New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2009
    Сообщения:
    181
    Если да, то покажите... Наверное будет новое "достоинство"
     
  14. Ox8BFF55

    Ox8BFF55 New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2009
    Сообщения:
    181
    П.С. mips наверное реверсить не сложно(если какой нибудь флирт написать, а то стандартные инструкции в процессов x86 смотреть на ниском уровне не очень как то...). А вот писать код... Будет так наверное за***
     
  15. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    > реверс реверсу рознь
    > 1 искать моменты для сигнатур
    > 2 ломать алгоритм
    > 3 и выдавать заказчику код почти 1:1 от оригинального с различием иногда в названиях три > наверное блондинки для первого вида вполне подходят
    ну а теперь представьте на секунду, что это не русток (он хоть предсказуемый), а SWF. да еще пакованный. а в нем через Action Script злобный хакер тянет нашу тачку, передавая выполнение на машинный код, генерируемый налету с помощью другого Action Script, а AS это не JavaScript - это байт-код. и хотя декомпиляторы есть, нужно быстро вкурить в тему и понять как оно работает.

    или вот вам дали pdf. вы видите что в pdf встроен exe. для простоты даже не упакованный, не покросоренный, т.е. видный сразу. получать управлене он не должен, а получает. из-за ошибки в Acrobat Reader'e. сам exe нам малоинтересен. вместо него можно вотнуть другой exe, да еще и пошифровать. вопрос в том: какая часть pdf'a "помогает" ему запуститься? надо реверсить Adobe Reader. а реверсить его... ну там же очень много кода. как _быстро_ отловить запуск exe и проследить взад какие поля pdf лажают? тут как сказали выше без интуиции никуда. как раз таки не тупая работа, а мозговой штурм.

    > да и кроме реверса нужно знать неплохо сам asm той платформы
    > что реверсиш неужели блондинки и mips освоили? круто
    это может быть и не asm. куча скриптовый языков, транслируемых в байткоды. куча форматов файлов. тот же mp4. под маками его лучше не пускать. там дыра. и они хачатся. включая телефоны. ну и как мы будем это дело дизасмить? 100 метров mp4. в нем несколько байт кода, получающего управление при переполнении, которые расшировывают пяток команд декодера, который расшифровывает основное тело шелл-кода, который в свою очереь... кароче. в иду эту хрень не загрузишь. айса под маком нету. статически код найти... как иголку в стоге...

    но блондинки справляются. даже та, что из ЮАР и с блондинкой ее спутать сложно.
     
  16. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    а что там осваивать?
    40-50 инструкций, из которых активно юзается 10 :)
     
  17. J0E

    J0E New Member

    Публикаций:
    0
    Регистрация:
    28 июл 2008
    Сообщения:
    621
    Адрес:
    Panama
    Называйте меня "ты" )
    ХЗ можно ли назвать мою практику богатой, но реверсить я научился явно быстрее чем программировать и книжки для этого не потребовались. Точнее, программировать я учился выполняя пункты 3 и 2 (можно даже код 2 к 1му :)

    ИМХО (не IMHO :)) новый ассемблер изучается за несколько дней, с MIPS не сталкивался, но судя по Википедии он проще х86.

    На этом не специализируюсь, но если для простоты нексоренный, решается тупо отладкой. Несколько попыток запуска, бряки в нужных местах. Понятно, что опыт сильно сократит время.

    А предположим, нужно написать компилятор машинного кода в красивый С++. Вот задача которая никак не решится методом тыка. Да что эта, хотя бы банальные префиксные деревья изобрести.
     
  18. Ox8BFF55

    Ox8BFF55 New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2009
    Сообщения:
    181
    bp CreateProcess? callstack ....(не говоря уже об трасироваки команд)
    Ну конечно Крис уже написал как это все работает... Ну а в целом? Да практически вся верусня Активно узает WinApi(ну или все сводится к ней), так что если есть экземпляр инсталяции malware(или как назвать? стартапер?) да плюс виртуалки с дебаггерами и дизассмами(или декомпилярами), то таки хочется написать батник который будет делать все черную и скучную работу...
    Вот другое дело сам инструментарий писать... Тут героев не так уже и много... кто повторил софт-айс? Иду?
     
  19. SimYula

    SimYula New Member

    Публикаций:
    0
    Регистрация:
    6 авг 2008
    Сообщения:
    30
    Ё-маё, точно ! как же это я сам не додумался батник написать, сколько потраченного в пустую время...
     
  20. Ox8BFF55

    Ox8BFF55 New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2009
    Сообщения:
    181
    Я не писал что можно написать.... Я сказал что хочется.... )))