# реверсерерам - исследователям и кодокопателям посвящается

Ox8BFF55
> Когда реверсил то зразу в Ольгу грузил распаковывал и в иду
> наверное я одаренный изучать вирусы? ))))
когда наше поколение изучало вирусы, то не было ни иды, ни ольги, ни интернета, ни фидо, ни даже cd-rom (с дисками вирусных коллекций). вирусы приходили сами на дискетах. виртуальных машин тогда тоже не было. и даже потрепанный винт, выделенный под вирусы был роскошью... сейчас изучать вирусы намного проще правда и вирусы сильно "подросли" в размерах. раньше счет шел на байты... типичный вирус насчитывал от силы пару тысяч команд. а сейчас?! монстры ;(

>> ИМХО бороться с вирусами все же интереснее,
>> чем писать дазы банных. хотя... каждому свое...
> Крис, помню сдавал базы данных, так мне препод(она)
> целый час(ну может минут 20) говорила что базы данных
> самое интерестное и восстребованое (в особености
> "релиационные" какое то сложное слово)...
она права. антивирусный движок - это очень сложная база данных (например, у нас используется http://en.wikipedia.org/wiki/Aho-Corasick_algorithm не бог весть что, но пока работает).

файловая система это по сути база данных. и восстановление данных требует знания ее организации, не говоря уже за имплементацию новой ФС, особенно распределенной в пространстве.

так что от баз данных никуда не уйти. IDA-Pro "лежит" поверх базы, в которой находится дизассемблируемый код и для написания скриптов/плагинов быстро ищущих чего-то там, нужно вникать в детали низкоуровневой реализации.

однако, под "дазами банных" еще понимается и написание программ для 1C, где главное знать финансы. ну а для работы с мускулем достаточно освоить нехитрый язык запросов.

> Сколько антивирусы живут? Сколько требуются асм\реверс ?
что значит "живут"? если брать жизненный цикл конкретных продуктов, то он может оказаться небольшим, но как бы это и не трагедия. напротив, нет нужды тащить за собой мегатонны кода написанного еще в 80х, а спроектированного вообще в 70х. антивирусы развиваются бурно и стремительно. в этой области можно проявить себя, реализовав свои собственные алгоритмы.

а вот касательно баз данных... нового тут вообще не предложишь. улучшить сущестующие алгоритмы не может и толпа математиков. никакого простора для творчества ;(

асм/реверс требовался всегда. и будет востребован еще очень долго (в том или ином виде). конечно, уже никто не пишет большие проекты целиком на асме, т.к. мазы нет и никто не реверсит каждый бит винды, ибо на фиг. новое время вносит свои коррективы, но ревес умирать не собирается.

> Сколько "С" живет? Умер ли он?
некоторые считают, что да, но я не согласен. я пишу на си и мой код это один из трех китов крупного проекта. коллеги так же пишут на си. один из них раньше писал игры, сейчас пишет базы данных (в смысле движок базы). и ничего. си очень даже рулит.

> С++?
язык относительно новый и очень сферический. компиляторы не поспевают за его творцами. только какое отношение это имеет к обозначенной предметной области? если в плане работы, то... тут все от человека зависит. ну вы же не хуже меня знаете какие требования к monkey-coder'ам, какая между ними конкуренция, насколько часто их увольняют и сколько им платят (намного меньше, чем обещают), потому как кодирование и программирование две большие разницы. большое кол-во кодеров на плюсах не позволяет им гнуть пальцы. а вот на асме кодера вообще сложно представить, т.к. даже простейшие программы требуют обширных знаний, с которыми тупо выполнять ТЗ никто не будет.

> С# много работы?
тут ситуация особая. на данный момент работы много. првда работа в целом не сильно интересная (в основном "мордашки" писать), да и нет гарантий, что завтра знания C# окажутся неактуальными. на MFC найти работу с каждым днем все трудее и труднее...

> Delphi приятен? (Если бы не код на С... )?
кому как. если использовать его как инструмент для реализации своих идей, то почему бы и нет...

> Java скорость просто ошеломляет...
зависит от кривизны рук вообще-то. низкий порог входимости в жабу приводит к появлению совершенно уродливого кода, где даже простейшие операции делаются через жопу и встроенные функции.

> Web - так это для....
это вообще отдельная песня.

> П.С. Java\С# ведь швейцарцы еще в 70(или 80?) прикололи такие языки
а что вы называете "такими" языками? взять жабу. байт код был задолго до нее конечно. синтаксис сами знаете откуда. но вот единой платформы подобной жабе до того не было.

 

Хай, мышехвостый. Неплохо пишешь, неплохо разводишь.Неплохо для дилетантов. Хотелось бы услышать пару слов для профи. Пару лет назад твой хвост махал об интеловских багах, кроме голословных заявлений сообщество ничего не услышало. Хотя были и обещания и уверения, я читал доклад на малазийском форуме, кроме слов - 0 целых и столько же десятых.Дружище, к словам и код желателен

 

на rsdn в прошлом году кто то заходил и просил помочь советом чем накрыть его прогру которая юзает какие то уязвимости интелл цпу
вообщем дальше флейма не продвинулись мы там

 

Medstrax
ну как бы версия для 8ми ядер раздается бесплатно (под NDA) даже в исходных текстах. на си. на котором имплементирована виртуальная машина со стрелкой пирса (слегка перехаченная) исполняющая код с динамической шифровкой уже внутри стрелки пирса и для затруднения отладки использующий умышленно внесенные ошибки синхронизации потоков. это демонстрирует атаку (откомпилить пример и запустить может каждый желающий), но не дает прямых указаний как именно оно работает. адоптация под собственные нужды так же максимально затруднена.

поймите меня правильно. обещания предоставить PoC в оригинальном eng варианте звучали как "i'm going to", но совсем не "will to". почувствуйте разницу. заинтересованные лица таки получили что им нужно. правда не все.

кстати, ваша позиция мне так же близка и понятна. типа вот как вас обломали. тот же евгений на форумах трепался, что мыщъх устроил дос его PR отделу. типа написдел панимаешь, а нам отдувайся на звонки раскаленным телефонов. ну и что мешало евгению публично сказать: писдеж чистой воды и галимый пионерский развод.

ЗЫ. перед очередным наездом просьба _прочитать_ текст доклада, а не делать вид, что вы его читали. из доклада ясно следует, что я ничего не нашел. я даже не первый в цепочке из тех, кто пытался привлечь внимание к этой проблеме. в какой-то мере мне это удалось, в какой-то нет. в мобильных процах дыры были залатаны только что.

 

Ox8BFF55

http://ru.wikipedia.org/wiki/Ада_(язык_программирования)

 

Я читал текст доклада. Однако, простите дураку, мне непонятно как некий пакет, пришедший на карту, может ДАЖЕ ТЕОРЕТИЧЕСКИ нагнуть систему. Я готов признать себя идиотом - если мыш продемонстрирует.

 

Medstrax
давайте ваш gtalk/skype. объясню в он-лайне. на форуме лениво писать много букффф

 

medstrax@rambler.ru

 

Medstrax
это и есть ваш скайп? я не потому что на форум в паблик что-то скрываю, мне он-лайн нужен, т.к. там легче объяснить перебрасываясь короткими фразами

 

дружище, я не юзаю скайп, консерватор блин, если есть что сказать - черкни, аська, мыло, этого достаточно, сори, не у всех естьвозможность скайпить

 

да я и без того затрахался объяснять одно и тоже. кстати, писал об этом в сус. админ. если уже совсем на пальцах - в процах есть баг в протоколе когерентности между кэшами и при выгрузке кэша данные пишутся по другому физическому адресу.

пакеты идут на карту и дергают прерывания, которые попадают на разные процессы. при сборке TCP часть данных неизбежно шарится между ними и потому один проц модифицирует данные, которые уже в кэше другого. и тут всплывает баг

содержимое пакетов не важно. главное - подобрать нужную скважность операций чтения записи и делать ее по адресам определенной кратности, что решается подбором размеров пакетов и частой их следования.

ну мы получаем возможность записи по физ. адресам. которые памяться на виртуальные. часть адресов которая мапиться еще на стадии загрузки оси делает это предсказуемым образом

 

а вот видео той конференции с крисом http://btjunkie.org/torrent/HITBSecConf2008-Malaysia-Videos-Day-2/39521bdf11773fb0d2ff280bf2b1961a8546efa74b0d. Какой-то он весь замученный и старый не по годам.

 

Дружище, я не хуже тебя знаю как работает кэш, все, что ты сказал - голословно, хоть один пример будь добр.Кэширование - штука весьма тонкая, рабочий пример в студию

 

занятно.
только интересно если есть в сети PoC, то почему еще не отреверсили, и не заюзали в малваре?
стрелки Пирса, шифрация - всё это фигня, всё снимается, пусть не на раз, но за неделю вполне, имхо.

 

Medstrax
> Дружище, я не хуже тебя знаю как работает кэш, все, что ты сказал - голословно,
> хоть один пример будь добр.Кэширование - штука весьма тонкая, рабочий пример в студию
а вам он зачем? и тем более зачем мне давать его вам? any ideas?

n0name
> только интересно если есть в сети PoC,
не в сети. в сети есть малварь, на которой не написано, что она лезет именно через эту дыру. так что найти ее можно только с помощью горшка с медом разве что...

> то почему еще не отреверсили, и не заюзали в малваре?
дык его сначала в малваре (коммерческой) и заюзали. и мне же об этом сказали. примера, правда, не дали, но я потом его нашел сам. в малвари.

> стрелки Пирса, шифрация - всё это фигня, всё снимается,
> пусть не на раз, но за неделю вполне, имхо.
за неделю не получится. там идет многослойная шифровка, а в самом конце динамическая. первые слои снимаются меньше, чем за день, а дальше ласты. хотя, конечно, при желании снимается все.

 

> не в сети. в сети есть малварь, на которой не написано, что она лезет именно через эту дыру. так что найти ее можно только с помощью горшка с медом разве что...
которых у каждой приличной ав-компании стоит несколько штук
Находят что-то интересное, сразу рапортуют - буткит, русток, tdss, ...
Тем более времени на введение защитной фичи тратить не так много, так что умалчивать не стали бы.
> дык его сначала в малваре (коммерческой) и заюзали. и мне же об этом сказали. примера, правда, не дали, но я потом его нашел сам. в малвари.
мм, а что останавливает от постинга статьи-анализа?
Покрывать, как я понимаю, тебе некого: надеюсь. не разрабываешь такое
Опасность того, что заюзают в своих гуанотроях? Ну как бы подстегнет прогресс аверов. Как было с рустоком? Детектили еденицы. Как распродали сорцы и появилось куча клонов, так теперь почти его все ловят.

 

Я немного воодушевлен. Чел глаголит о своих успехах, но при этом скромно - а зачем оно вам? Хотя бы по одной простой причине - удостовериться в том, что код работает. При всем уважении к мыщу - должен констатировать - код для анализа редок. Вспомним дружно якобы "анализ" виртуалок, якобы из под нее можно "выпрыгнуть", все дружно смеялись. Я не стремлюсь как то опоганить криса, мое мнение заключается в оппонировании. Если есть желание поспорить по существу - велкам

 

n0name
> а что останавливает от постинга статьи-анализа?
ну как бы только в системном администраторе было две статьи. и еще демонстрировал это на приватных конференциях куче народа. но реакция в целом ожидаемая. со мной начинают спорить. а оно мне надо? малварь, юзающая эти дыры есть и писана не мой. эксплуатация дыр требует стечения кучи обстоятельств сразу, что не создает предпосылок для вспышки эпидемии. процессоры в дырах залатаны. и что дальше? доказывать, что теория это одно, а на практике атаковать жертву сложно мне говорить не надо. сам в курсе.

> Покрывать, как я понимаю, тебе некого: надеюсь. не разрабываешь такое
на конфе была проблема. я не совсем понял как работает оригинальный код (как тут сказали кэш штука тонкая, да еще и трансляция физических адресов в виртуальные), поэтому просто рипнул фргамент малвари, но перед самым выступлением те, кто мне дал ее для анализа запретили мне показывать PoC на ее основе. и у меня не было времени перед конфой переисать его самому. а после конфы не было смысла.

> Опасность того, что заюзают в своих гуанотроях?
> Ну как бы подстегнет прогресс аверов.
на самом деле все проще. _заинтересованным_ лицам я даю информацию бесплатно и консультирую по полной вплоть до демонстрации как оно работает (с них только железо в котором еще есть дыры). а если меня берут на слабо, так мне не особо интересно доказывать, что не лось

 

Мыш, ты неоднократно повторял о неких багах в процах. О некой возможности эту багу заюзать... Тем не менее ты ни разу не не озвучил эту багу, только некие общие фразы - "когерентность, синхронность и пр.". Мы все дружно слышали об обещаниях озвучить в малайзии, потом дружно слышали об NDA, тем не менее....Я ковыряю баги 15 лет, в то время когда многие участники ходили в детсад я прогал 386, кое что я знаю о процах. Но я не видел хоть одну приемлемую фичу на кэше. Теоретически поймать можно, но ... непредсказуемо....