1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

собеседование в virlab

Тема в разделе "WASM.HEAP", создана пользователем oldnoob, 19 июл 2011.

Статус темы:
Закрыта.
  1. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    Извините, если не по адресу.
    Что примерно ожидать от собеседования в русский virlab типа drweb или kaspersky на позицию вирусного аналитика?
     
  2. Kaimi

    Kaimi Андрей

    Публикаций:
    0
    Регистрация:
    15 апр 2010
    Сообщения:
    120
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    4.199
    oldnoob
    решил переметнуться с темной стороны?
     
  4. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    Нет, я вообще с вирусами дел не имел. С университета остались знания и навыки по RE, а вообще я прикладной программист. Выполнил тестовое задание и меня пригласили на очное собеседование. Вот решил узнать, чего ожидать.
     
  5. newbie

    newbie New Member

    Публикаций:
    0
    Регистрация:
    2 дек 2008
    Сообщения:
    1.246
    Зарплаты 5к, рабочего дня с 8 до 20 и презрения от нормальных людей ака блекхетов :)
     
  6. djmans

    djmans New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2006
    Сообщения:
    312
    "на позицию вирусного аналитика"
    "я вообще с вирусами дел не имел."

    Восхитительно!
     
  7. newbie

    newbie New Member

    Публикаций:
    0
    Регистрация:
    2 дек 2008
    Сообщения:
    1.246
    а чо собсна, всё правильно сделал, так и надо. Там все такие сидят :)
     
  8. Satsura

    Satsura S4(uR4 __r00tw0rm__

    Публикаций:
    0
    Регистрация:
    22 апр 2010
    Сообщения:
    377
    Адрес:
    Узбекистон, бляать!!11 :D
    тише тише дети, нас Алекс Матросов читает (=
     
  9. Com[e]r

    Com[e]r Com[e]r

    Публикаций:
    0
    Регистрация:
    20 апр 2007
    Сообщения:
    2.630
    Адрес:
    ого..
    наши люди вовремя завербовались в отдел кадров ,)
     
  10. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    И? В этом работе на первом месте навыки обратного проектирования, потому что без них алгоритма работы не понять.
     
  11. shchetinin

    shchetinin Member

    Публикаций:
    0
    Регистрация:
    27 май 2011
    Сообщения:
    715
    oldnoob
    В большенстве случаев при анализе мальмари навыки реверс инженеринга не особо нужны .. имхо RegMon, FileMon и прочия лабуда ... А математических и прочих алгосов в них мало, так что знать пять-6 иструкций и что такое ида и в бой:):)
     
  12. djmans

    djmans New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2006
    Сообщения:
    312
    2oldnoob
    А то, что вы не знаете что такое мальваре, нет опыта, а учить вас не кто там не будет за свой счет...
    А потом появляются веселые гуанопиаростатьи от аналитиков не понятно о чем...
     
  13. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Хахаха, насмешили. Facepalm можно лепить почти в каждый пост. Почему сюда еще не запилили этот смайл?

    oldnoob
    Дерзайте, главное чтобы человек был увлечен :)

    Вирусный аналитик, общие требования:
    1. знание asm x86 на уровне больших проектов, под большими здесь понимается не 15 кб и не всякие глупости, что тут например постят в изобилии (не обязательно, смотря куда идем)
    2. владение популярными инструментами типа IDA, OllyDbg, WinDBG/Syser (SoftIce в топку)
    3. уверенное владение C/C++
    4. знание архитектуры Windows NT, структуры PE-файлов
    5. более и менее технический английский
    6. ну и ответственность, бла-бла и так далее

    Честно говоря, я бы вас не взял на эту позицию. Уж извиняйте :)
    Лучше начните с программирования, тем более сами сказали что прикладник :)
     
  14. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Хахаха, насмешили.
    Facepalm можно лепить почти в каждый пост.

    oldnoob
    Дерзайте, главное чтобы человек был увлечен :)

    Вирусный аналитик, общие требования:
    1. знание asm x86 на уровне больших проектов, под большими здесь понимается не 15 кб и не всякие глупости, что тут например постят в изобилии (не обязательно, смотря куда идем)
    2. владение популярными инструментами типа IDA, OllyDbg, WinDBG/Syser (SoftIce в топку)
    3. уверенное владение C/C++
    4. знание архитектуры Windows NT, структуры PE-файлов
    5. более и менее технический английский
    6. ну и о%F
     
  15. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    С программирования мне нет смысла "начинать", я программист давно. Либо я не понял этой фразы.
     
  16. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    Чтобы понять, является ли программа вредоносной как раз и необходимо умение обратного проектирования. На мой взгляд именно оно ставится во главу угла.
     
  17. klzlk

    klzlk New Member

    Публикаций:
    0
    Регистрация:
    2 июн 2011
    Сообщения:
    449
    oldnoob
    А что это такое ?
    Если вы "программист", который окошки в дельфях програмил - толку мало. Чтобы разбираться в отбитом коде нужно знать систему хорошо. Вот вам простой код:
    Код (Text):
    1. 55 8B EC 53 33 DB 6A FC 6A FC 8B C3 8B D4 CD 2E 3D 41 01 00 C0 74 0F 43 81 FB 00 10 00 00 72 EA
    2. 33 C0 33 C9 EB 50 FF 75 08 FF 75 08 8B C3 8B D4 CD 2E 85 C0 74 05 83 C4 08 EB CF 81 24 24 00 00
    3. FF FF 81 2C 24 00 00 01 00 8B C3 8B D4 CD 2E 85 C0 74 EF 81 04 24 00 00 01 00 81 64 24 04 00 F0
    4. FF FF 81 44 24 04 00 10 00 00 8B C3 8B D4 CD 2E 85 C0 74 EE 58 59 83 C4 08 5B C9 C2 04 00 E8 00
    5. 00 00 00 E8 78 FF FF FF C3
    Что он делает ?
     
  18. shchetinin

    shchetinin Member

    Публикаций:
    0
    Регистрация:
    27 май 2011
    Сообщения:
    715
    FUNCTION_ADDR__XX_XX__XX:
    55 PUSH EBP
    8BEC MOV EBP,ESP
    53 PUSH EBX
    33DB XOR EBX,EBX
    6A FC PUSH -4
    6A FC PUSH -4
    ;
    ; system call from 0 to 1000
    lavel_start:
    8BC3 MOV EAX,EBX
    8BD4 MOV EDX,ESP ;Maybe mov edx, [esp+4] ??
    CD 2E INT 2E
    3D 410100C0 CMP EAX, STATUS_INVALID_ADDRESS
    74 0F JE label1
    43 INC EBX
    81FB 00100000 CMP EBX,1000
    72 EA JB lavel_start
    33C0 XOR EAX,EAX
    33C9 XOR ECX,ECX
    EB 50 JMP label_exit

    ;
    ; Когда это код будет юзатся ??
    ;
    label1:
    FF75 08 PUSH DWORD PTR SS:[EBP+8]
    FF75 08 PUSH DWORD PTR SS:[EBP+8]
    8BC3 MOV EAX,EBX
    8BD4 MOV EDX,ESP
    CD 2E INT 2E
    85C0 TEST EAX,EAX
    74 05 JE label4
    83C4 08 ADD ESP,8
    EB CF JMP lavel_start
    label4:
    812424 0000FFFF AND DWORD PTR SS:[ESP],FFFF0000

    label2:
    812C24 00000100 SUB DWORD PTR SS:[ESP],10000
    8BC3 MOV EAX,EBX
    8BD4 MOV EDX,ESP
    CD 2E INT 2E
    85C0 TEST EAX,EAX
    74 EF JE label2
    810424 00000100 ADD DWORD PTR SS:[ESP],10000
    816424 04 00F0FF>AND DWORD PTR SS:[ESP+4],FFFFF000

    label3:
    814424 04 001000>ADD DWORD PTR SS:[ESP+4],1000
    8BC3 MOV EAX,EBX
    8BD4 MOV EDX,ESP
    CD 2E INT 2E
    85C0 TEST EAX,EAX
    74 EE JE label3
    58 POP EAX
    59 POP ECX
    ;
    ; Конец не понятного кода юзания
    ;

    label_exit:
    83C4 08 ADD ESP,8
    5B POP EBX
    C9 LEAVE
    C2 0400 RETN 4
    E8 00000000 CALL SOME_XX_XX_XX_XX

    SOME_XX_XX_XX_XX:
    E8 78FFFFFF FUNCTION_ADDR__XX_XX__XX
    C3 RETN

    Я же говорил пару иснтрукций ...
     
  19. shchetinin

    shchetinin Member

    Публикаций:
    0
    Регистрация:
    27 май 2011
    Сообщения:
    715
    УПС. забыл про INVALID_STATUS, ну короче я думаю про код ясно ..
    NtAcceptConnectPort NtAccessCheck LPC?
     
  20. klzlk

    klzlk New Member

    Публикаций:
    0
    Регистрация:
    2 июн 2011
    Сообщения:
    449
    shchetinin
    Нет конечно, причём тут лпк. Хороший, полезный код.
     
Статус темы:
Закрыта.