собеседование в virlab

Тема в разделе "WASM.HEAP", создана пользователем oldnoob, 19 июл 2011.

Статус темы:
Закрыта.
  1. shchetinin

    shchetinin Member

    Публикаций:
    0
    Регистрация:
    27 май 2011
    Сообщения:
    715
    Бесполезный в нем нет html тегов. :)
     
  2. klzlk

    klzlk New Member

    Публикаций:
    0
    Регистрация:
    2 июн 2011
    Сообщения:
    449
    shchetinin
    С вашими тегами идите на другой форум.

    oldnoob
    Есть идеи по сабжу ?
     
  3. izl3sa

    izl3sa New Member

    Публикаций:
    0
    Регистрация:
    22 апр 2010
    Сообщения:
    164
    Адрес:
    Spb
    2klzlk
    этот кодес определяет границы модуля (начало - конец) в котором исполняется (с помощью NtAreMappedFilesTheSame). Довольно красиво =)
     
  4. klzlk

    klzlk New Member

    Публикаций:
    0
    Регистрация:
    2 июн 2011
    Сообщения:
    449
    izl3sa
    Интересно узнать как вы это узнали. А вообще не выже кричали про программинг и в контору аверсую не вы хотели проникнуть, зачем было годный вопрос портить :dntknw:
     
  5. shchetinin

    shchetinin Member

    Публикаций:
    0
    Регистрация:
    27 май 2011
    Сообщения:
    715
    klzlk
    Может быть вудманн?
     
  6. klzlk

    klzlk New Member

    Публикаций:
    0
    Регистрация:
    2 июн 2011
    Сообщения:
    449
    shchetinin
    Да, я так и подумал. Там и оптимизированный вариант есть, но такая оптимизация сродни обфускации.
     
  7. Rockphorr

    Rockphorr Well-Known Member

    Публикаций:
    0
    Регистрация:
    9 июн 2004
    Сообщения:
    2.623
    Адрес:
    Russia
    klzlk оригинальный сорц этой процедуры покажете ??? хоть в пм
     
  8. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    С Delphi не работал, разве что пару лабораторных было. Так что мимо тазика.
    Если ты даешь какое-то задание (которое не факт что я обязан решать, тратить время), то логичнее его давать в ЛС, иначе каждый волен решать его.
     
  9. phoukait

    phoukait New Member

    Публикаций:
    0
    Регистрация:
    22 июл 2011
    Сообщения:
    43
    oldnoob
    Его не решили. А вы ушли от ответа. Видимо вам не у аверов работать(там своих индусов более чем достаточно)..
     
  10. oldnoob

    oldnoob New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2011
    Сообщения:
    11
    izl3sa объяснил работу кода.
     
  11. phoukait

    phoukait New Member

    Публикаций:
    0
    Регистрация:
    22 июл 2011
    Сообщения:
    43
    Он сказал что код делает, про его работу ни слова не сказал. Вам же в школе по математике оценки ставили не за рипнутое число в ответе, а за ход решения.
     
  12. Rockphorr

    Rockphorr Well-Known Member

    Публикаций:
    0
    Регистрация:
    9 июн 2004
    Сообщения:
    2.623
    Адрес:
    Russia
    можно я как полный нуб в кернел моде и как человек который сам строил механизмы на асме (правда в досе) выскажу свое предположение относительно того как это работает:

    в цикле перебираются system call'ы из них отбираются те что ругаются на параметры STATUS_INVALID_ADDRESS

    и лишь одна из них по слухам (NtAreMappedFilesTheSame) пройдет вторую проверку за label1 и выполнит всю полезную работу прощупывая адресное пространство с шагом в страницу
    Код (Text):
    1. 810424 00000100  ADD DWORD PTR SS:[ESP],10000
    2.     816424 04 00F0FF>AND DWORD PTR SS:[ESP+4],FFFFF000
    3.  
    4. label3:
    5.     814424 04 001000>ADD DWORD PTR SS:[ESP+4],1000
     
  13. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    EP_X0FF
    > Дерзайте, главное чтобы человек был увлечен :)
    +100500

    > Вирусный аналитик, общие требования:
    > 2. владение популярными инструментами типа IDA, OllyDbg, WinDBG/Syser (SoftIce в топку)
    я бы добавил wireshark, firebug, d8,,,

    > 3. уверенное владение C/C++
    я бы добавил сюда питон, т.к. без питона ни ольгой, ни с идой далеко не уедешь. да и если нужно разобрать лог API шпиона, то на пионе это быстрее, чем на си.

    > 4. знание архитектуры Windows NT, структуры PE-файлов
    я бы добавил знание форматов документов (pdf, ms office), сетевых протоколов, js, swf,,, EScript.api

    exe файлы уже давно дропаются через цепочку типа html -> js -> pdf -> swf -> ... exe/dll, причем компроментация системы происходит задолго до дропа exe. раньше хучили винду, сейчас нужно хучить адобу и ie.

    > Честно говоря, я бы вас не взял на эту позицию. Уж извиняйте :)
    > Лучше начните с программирования, тем более сами сказали что прикладник :)
    тут вопрос спорный. анализ малвари сам по себе профита не приносит и даже на западе оплачивается не выше $65k. а вот написать детектор для новой хитроумной малвари -- вот это профит. но, чтобы его написать, нужно не только уметь программировать, но и знать повадки малвари.
     
  14. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Немного не по теме, но почему последнее время так стал популярен этот Питон? Имею ввиду, в среде малваре реверсеров. Уже который раз замечаю, что в отчетах при дизасме используют питон, в "хакере" была статья, в которой на питоне делали криптор.. Чем он так хорош, чем лучше того же руби или перла, не говоря уж про С++?
     
  15. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    M0rg0t
    > Немного не по теме, но почему последнее время так стал популярен этот Питон?
    хз. когда-то очень давно (еще в 20 веке) я его ковырнул. ужаснулся, что он требует принудительного форматирование и решил для себя, что этот "фашистский" язык не для меня и забросил его на полку. но... вот сейчас таки начал изучать, ибо иммунити деббагер -- это ольга с питоном. в иде питон позволяет писать плагины не отходя от кассы, причем быстрее, чем на сях. молчу уже про кучу библиотек. если мне нужно проанализировать Pcap'ы и построить графики в png, то на питоне это делается запросто, а вот на си библиотеки пока найдешь...

    > Имею ввиду, в среде малваре реверсеров.
    вероятно, потому что нет достойной альтернативы. развитый скриптовый язык, копилируемый на лету в байт код. огромное кол-во библиотек. да и сам язык легко учиться. я с полного нуля за выходные (и это не преувеличение) стал на нем что-то писать (хотя и в сишном стиле).


    > Уже который раз замечаю, что в отчетах при дизасме используют питон,
    > в "хакере" была статья, в которой на питоне делали криптор.. Чем он
    > так хорош, чем лучше того же руби или перла, не говоря уж про С++?
    руби -- тормоз и пока используется только на метасплоите. хакерских библиотек нет (типа того же pefile). ни ида, ни ольга руби не поддерживают... а что касается си... ну вот вам пример: http://www.hexblog.com/?p=193 -- сколько бы у вас заняла имплементация на си++ ? и да, питон таки лучше потому что в нем пишешь типа:

    f = open("name", "rb");
    for lines in f:
    ...

    или вот пишешь:
    a = (x, y, z);
    return a;
     
  16. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    kaspersky
    Спасибо за подробный ответ. Я тоже к Питону не особо присматривался именно из-за этих отступов и табуляции.
     
  17. izl3sa

    izl3sa New Member

    Публикаций:
    0
    Регистрация:
    22 апр 2010
    Сообщения:
    164
    Адрес:
    Spb
    >> Я тоже к Питону не особо присматривался именно из-за этих отступов и табуляции.
    это кстати ниразу и не минус =) уже полтора года прусь от питона и от того, что с помощью него можно творить с инструментами, а как скриптабельные плагины в ида 5.7 появились, так вообще лафа =)
     
  18. Satsura

    Satsura S4(uR4 __r00tw0rm__

    Публикаций:
    0
    Регистрация:
    22 апр 2010
    Сообщения:
    374
    Адрес:
    Узбекистон, бляать!!11 :D
    Настоящие посоны юзают IDА от ESЕТ со всеми примочками и прибомбасами (;
     
  19. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    izl3sa
    >> Я тоже к Питону не особо присматривался именно из-за этих отступов и табуляции.
    > это кстати ниразу и не минус =)
    пробовали править чужой код? думали, что там табуляция, а там пробелы. ага! или скопипастить что-то из своего кода в чужую функу. блин, это же надо все переформатировать. да или просто вы написали кусок кода, а затем решили его оформить отдельной функций. на сях и паскале -- ну скопировал и успокоился. а тут...

    или просто добавли еще один if. или цикл. это ужас нах. это снова все переформатировтаь...
     
  20. phoukait

    phoukait New Member

    Публикаций:
    0
    Регистрация:
    22 июл 2011
    Сообщения:
    43
    kaspersky
    Есть идеи по пруфкоду выше ?
    Ато вы тут распиарили какието ресерчи, а что вы собственно можите ?
     
Статус темы:
Закрыта.