SF - в области реверсинга - $70k - вопросы к Крису)

Вопрос лишь в том сколько времени он учился, прежде чем стать полноправным реверсером

 

stallker

не больше чем надо)
и сейчас быстро переквалифицировался в жабаскрипт секурити, и потихоньку, не спеша, рвёт конкурентов.
просто его в конторе обязали не разглашать любые темы, связанные с работой, вот он и не постит ничего интересного

 

wsd
Не так велика разница между текстом скрипта и текстом машинного кода.

 

skomarov

маш код жёстко определён, а скрипт в разных браузерах выполняется чёрт знает как )

 

K10
похоже ты не в тот оффис F-Secure написал...
я почти во все офисы писал. Просто первый ответ пришел через день от UK офиса. Жду америкосов, надеюсь на их демократичность) во всякую азию не охото, но на всякий случай и туда отправил=) не помню корея вроде. придет ответ вспомню.
Я ж на автомате отправил резюме в контор эдак двадцать. вот и посмотрим статистику как предков дарвина охотно берут

 

kaspersky,

Крис, ты не пропустил случаем мою мессагу - http://wasm.ru/forum/viewtopic.php?pid=389160#p389160? Почти одновременно отписались, моя получилась выше... А судя по твоему алгоритму общения все что выше твоих постов ты второй раз не проглядываешь)

 

Случайные комменты случайно выбранных цытат. Part II.

kaspersky

>> А нафиг он нужен?
> потому компании типа ms и adobe не говорят, что они фиксят. а как предполагается писать IPS под "пойди туда не знаю
> куда, поймай мне то, сам не знаю что" ?!

Oh, I used to harbour the hope that such things are tried to solve more ... hrm. ... generically. Like StackGuard и иже с ним. А так дырей много а неразведаных - ака в Раше нефти неразведанной. Может просче виндовые модули переписать и юзеру их поставить - куда надежнее будет

> или можете реверсить сами. или кого-то нанять. или помедитировать
... или послать манагера с его узкими представлениями как надо делать вещи.

А за сколько можно (Ваша оценка?). Смотрите, в эту дырку в заборе видно почему AV продукты гуаном называют

Ну как же. Пока приходящий сможет что-то делать _сам_ (будь он сто раз более рюшный чем "архитектор"), он должен будет выучить все эти "это не трогай, вот тут надо через ж и тд".

> есть мощные деофускаторы, есть распаковщики, есть реконструкторы

Берем пивка и садимся поудобнее за комп ... смотрим на все что угодно что дает стабильные (в пределах) результы. Желаетльно нигде не описанное но рабочее на версиях. Чекаем это, если неверно - ничего не делаем. Или ваш мулятор-реконструтор умеет еще и произвольный (простой!) алгос декриптовать (без муляции декриптора)? Если сомневаетесь - спросите парней из соседней к. что пытаюцца отчеты за 3 часа написать.

Да, чуть не забыл, тупая я голова. Если все мулируеццо и распакуецца - че там 3 ч делать-то? Распаковал, взглянул и done.

Satsura

Ога. У этой сказки есть часть II - "антивирусные конторы специально не детектируют все сэмплы чтобы не остаццо без работы".

***

Крис К. хотя бы про 3ч грит. Ну я плохо в истории современного вирусостроения, но вот за сколько до Zmist лвл 2 "моментальные" доберутса?

Вопрос не ф том кто сделал а что он (любой) сделал, нэ? С нетерпением читаем одчеты McAfee о жабоскриптопаразитоллдетекто.

 

Укокоште наркомана запарил уже, в жизни наговорись

 

Satsura

Это задачи из не доступной в данное время области AI. Этих алгоритмов не существует и в ближайшие десятки лет маловероятно их появление.
Для примера возьмите какойнибудь не описанный механизм, допустим выход за диапазон битмапы для теневых сервисов(я в блоге описывал):

Код (Text):

1.     mov eax,(0x1000 + N)    ; N > MaxWin32kServiceId
2.     int 0x2e

Какой из этого кода может сделать вывод текущего уровня AI - никакой, так как в него не заложена модель этого вызова. Для этого необходимо выполнить этот код в изолированной среде(VM). Но что это даст, по сути таже трассировка. Учитывая что читаемое из ядра при этом вызове значение переменной зависит от абсолютно иных факторов, AI не сможет связать два события, например загрузку переменной, затем чтение её. Не верю я что подобные технологии существуют. Этого было бы достаточно для автоматического поиска уязвимостей.

 

Clerk, то что вы тут сказали про AI АV это опять же для паблика.
Не знаю секрет ето для вас или нет,сегодня уже гос. органам и крупным комерческим организациям доступны CPU (+ GPU with CUDA) с объемами кэш-памяти > 8 Mb & встроенными эмуляторами, с программ[ируемым]ным управлением. Этого достаточно чтобы без дополнительных VM деобфусцировать код, анпачить Exeкуты, трассировать, а также распаковывать объекты, и это все совершенствуется с каждым днем. Есть даже AI ПО созданное которое способное самообучаться. И это действительно правда. Крис и многие кто работают в серьезных организациях знают о чем я.
Вот например у нас и во многих обслуживамых организациях есть мэйнфреймы состоящие из 112 Broadcost Cell CPU .
ОС : Linux RedHat. ПО в основном компилируется на CellGCC(с кучой опций оптимизаций и разветвлений), который в свою очередь компилирует высокоэффективный код. Про АВ ПО небуду нечего рассказывать и так много чего поведал(хотя думаю что это уже не такой и большой секрет). Начальство узнает повесит.
ЗЫ.: Вы наверное и сами понимаете все что сливают в паблик это дешевки. Хорошее ПО стоит денег. Больших денег.
Тем более для крупных организаций. И вы понимаете что ето ПО на дешевых IA PC не будет работать.
ЗЫ.ЗЫ.: Зачем я это все сказал? На то есть свои причины друх мой... есть причины...

 

Satsura
Не в вычислительных мощностях проблема. Проблема в алгоритме. Вобщем как я когдато говорил - если авера нет на паблике, то он не мешает

 

Скоро узбекистанские терминаторы выйдут из под контроля и завоюют планету.

 

Satsura

Оно всякое темидо осилит с минимумом рукоблудия в плане получения пригодного для самостоятельного запуска ЕХЕ? Ежели да - вы меня таки соблазняете "продаться аверам"(с) оптом с умыслом пор0ботить планету Или "код распаковался, пальчики сняли, в картотеку внесли, а дальше хоть трава не расти"?

 

Я вас раскусил, у вас с касперски план, при каждом случае тыкать клерка в недоступные ему вещи и надеяться что он когда нибудь сдастся и уйдет к аверам ^^

 

Clerk
> Вобщем как я когдато говорил - если авера нет на паблике, то он не мешает
кому не мешает, простите? а если защитный комплекс установлен на стороне провайдера? и потом, атаки на домашних пользователей -- это гопничество. это все равно что расстреливать кабана привязанного к дереву.

 

kaspersky
Мы это уже обсуждали
Раскажите про технологии как Satsura, у вас есть чтонибудь с AI ?

 

PSR1257
> А так дырей много а неразведаных - ака в Раше нефти неразведанной.
так, давайте не будем трогать нефть и вернемся к дырам. я ваш кастомер, вы разработчик IPS. я вижу, что ms что-то опять подлатала и спрашива вас -- ловите ли данный вектор(а) атак или опять отмазываетесь, что это не ваш бизнес и что движок не тянет?

> Может просче виндовые модули переписать и юзеру
> их поставить - куда надежнее будет
ага. вы говорите юзеру -- не покупайте нашу защиту, просто ставьте заплатки. гениально, мать вашу! а как же ваш бизнес? кстати, для вашего свединия -- атаки и попытки на атаки интересны в одинаковой мере. если вас атакуют то, даже если задница закрыта заплаткой, сам _факт_ попытки атаки очень важен и его нужно как-то словить.

>> или можете реверсить сами. или кого-то нанять. или помедитировать
> ... или послать манагера с его узкими представлениями как надо делать вещи.
как я понимаю предлагать взамен вы ничего не собираетесь?

>> а три часа ничего нельзя толком проанализировать
> А за сколько можно (Ваша оценка?).
от нуля до бесконечности. чтобы оценить время мне нужно хотя бы взглянуть на файл. а дальше эта оценка будет корректироваться. допустим, файл не упакован и в нем куча API функций, в которых видеться инжект, установка сервиса, прописка в авторане. кажется -- ну что тут можно делать три часа?! ща мы его на форсаже и.... оп-с!!! облом!!! а тут внутри еще один exe -- уже покриптованный и отчанно сопротивляющийся анализу. и все. и кранты. и тут нужно намного больше времени, чем ожидалось...

>> откуда вы взяли цифру два года?!
> Ну как же. Пока приходящий сможет что-то делать _сам_
повторю вопрос. откуда взялась цифра в два года? почему не 6 месяцев? не десять лет? кстати, рабочие визы по дефлоту на 3 года в сша. и далеко не всем потом предлагают остаться. два года от трех лет -- не слишком ли много?!

> (будь он сто раз более рюшный чем "архитектор"), он должен
> будет выучить все эти "это не трогай, вот тут надо через ж и тд".
кого не трогай?! можно начать создавать что-то свое хоть в первый же день. допустим, нужна какая-то тулза (ну хотя бы компоратор реестра), а все что есть -- не устраивают. вот бери и пиши. если окажется удачной, то тебе могут предложить сделает ее основным своим проектом.

не надо путать работу по поддержке чужого кода с написанием своего собственного. вот вам задача -- решайте. интеграция вашего решения с уже существующими продуктами не требует от вас знания их устройства. достаточно обсудить апи и ему следовать.

> Или ваш мулятор-реконструтор умеет еще и произвольный (простой!)
> алгос декриптовать (без муляции декриптора)? Если сомневаетесь
> спросите парней из соседней к. что пытаюцца отчеты за 3 часа написать.
ну вот сейчас прогнал pdf от целевой атаки на гос. учреждние. не самый крутой, но интересный. из пяти моих движков его за 3 ms схвавали четыре, автоматом выдав два CVE номера векторов атак. еще три номера нашлить тут же глазами путем просмотра результата работы деобфускатора (простым контекстным поиском). в общем, не такой уж и плохой результат

> Если все мулируеццо и распакуецца - че там 3 ч делать-то?
> Распаковал, взглянул и done.
и что done? что вообще делает этот файл? ну помимо установки всяких там дров и сервисов. клавиатурный шпион? удаленный рабочий стол? куда он осылает результаты шпионажа? ну и так дальше...

 

TermoSINteZ
> Ну зачем же ты так. Это не оправдание. Конечно в масштабах
> компании гопничество, но зато какой доход... и прибыль идет.
> Так что "на войне все средства хороши".
гопников на войну хрен загонишь

Clerk
> Раскажите про технологии как Satsura, у вас есть чтонибудь с AI ?
AI пока не изобретен а технологии у нас разные. от динамического до статического анализа, включая и их комбинации. поскольку долгое время мыщъх был сфокусирован на анализе в рельном времени (а анализировались гигабайты трафика в секунду), причем в распоряжении были только отдельные IP пакеты, то никто не ждал от меня чудес.

технологии секрета не представляют, но, боюсь, что вам они не интересы, т.к. exe файлами я не занимаюсь. не мой бизнес. а документы и скрипты вас не возбуждают.

 

kaspersky

Вот и я об этом говорю. У нас интересы никак не пересекаются