В чего Васм появился/превратился

Тема в разделе "WASM.SITE", создана пользователем RET, 20 янв 2017.

  1. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    Собственно по теме - где элито, инде - клерка вижу, себя тоже, остальное в форум по VB катится?, где тема про вирусмейк? где собственно vx - тема?
    Обсуждать актуальные антиэмуляторы, новые фишки с интеловскими командами где реальный асм/васм :) ?
    на факаве чтоль? для школоло?
     
  2. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    RET, спокойно, тема на месте
    http://wasm.in/forum/forums/wasm-virology.13/

    А вот какая вам элита нужна я не знаю. Хорошие люди тут остались, пишут по мере сил.
    Если у кого-то есть увлечение пусть даже VB - то почему бы этим не поделиться общественностью. Вы сами хоть чем нибудь делились с васмом?
    Давайте покажите нам новые фишки и реальный васм, че уж там, а мы поглядим.
     
    Alexey, Thetrik, galenkane и ещё 1-му нравится это.
  3. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    269
    неплохой байт на кодесы
     
  4. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    VB как антиэмулятор - чем не годен? До сих пор эмули его не берут.

    Нужен морф? Морфим сорец на VB, рекомпилируем его на месте. Кстати, в .NET есть фишечки вроде JSC.EXE,CSC.EXE для конпиляции прямо здесь и сразу.

    Свет клином сошелся на VB, прямо как бельмо на глазу. "В чужом глазу соринку замечаешь.." Хотите обсуждать ядерные объекты х64, обсуждайте, никто не мешает.

    Домен специально выбирался подальше от Роскомнадзора и иже с ним, чтобы свободно обсуждать VX. Тему спрятали, да. Но кто не делает ошибок, тот вообще ничего не делает.
     
    Mikl___ нравится это.
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    RET,

    > где собственно vx - тема?

    Её намеренно убрали из паблика, писали про это. Я тоже недавно спрашивал, так как линка на раздел нет, хотя он и есть. В общем же сокрытие раздела противоречит самому понятию виксов, так сделали приват.

    > на факаве чтоль? для школоло?

    Там на батниках пилят, мне даже как то не по себе стало от мысли что верх викс технологий свёлся к батникам.
     
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    _edge,

    > VB как антиэмулятор - чем не годен? До сих пор эмули его не берут.

    Это не совсем верно.
     
  7. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    860
    У меня вызывают недоумения подобные высказывания. Почему тогда никто ничего подобного не говорит о C или C++? Мне кажется что это все из-за банального невежества. Обычно про VB6 так говорят люди незнакомые с ним или знакомые очень слабо.
    Хочу заметить что я также специально написал 2 статьи по ассемблеру тут (еще одна готовится по doc эксплоиту), а больше статей по VB6 так это потому что до возрождения васма я не писал статьи специально для асма.
     
  8. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    мне даже как то не по себе стало от мысли что верх викс технологий свёлся к батникам.

    это из серии "вода жидкая и дырочку найдет"

    АВеры хорошо научились разбирать наивный вин32 асм код, оставив в стороне все остальное (я конечно многого не знаю, но те знания которые имеются, позволяют делать определенные выводы), в том числе и батники.

    в принципе, у них в распоряжении подписанные драйвера, которыми перехукано все что можно, к чему в результате выполнение скриптов на чем угодно, будь бат, будь autoit, в результате все равно придет; так что быть может это даже и лучше, меньше напрягаться для добавления каждого HLL в свой имитатор выполнения.

    но,

    это Eicar-test-file, который генерится скриптом на VBS, который генерится батником

    262407_original.png

    и ни одна собака на Вирустотал его не опознала.

    разумеется, как только дропнется файл, его тут же схватят, но это PoC'азательно (самая дичь, что даже такие вещи как del %systemroot%/*.* в бат-фаеле не колыхают АВ)

    так что изыскатели идут по пути наименьшего сопротивления - батники, FUD на VB6, и прочая.

    ахах, им противостоят контр-меры в виде репутации приложений через облако (ака мгновенные обновления баз)
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    _edge,

    Не совсем так. Суть в данном вопросе отличить действия пользователя от программы. Пакетная обработка является проблемой, так к примеру юзер может деинсталить авера, то же можно сделать через баты. По какой то причине на эти действия видимо отсутствуют фильтры, скорее всего это сделано намеренно для возможности управления автоматикой.

    VB код нормально эмулится. Но есть один важный нюанс - глубина эмулции, необходим приемлемый баланс профайла, а тайминг определяет глубина эмуляции. Если эмулить всё полностью, то при скане диска тайминг будет бесконечным. Посему вводится лимит на число инструкций или прочих элементарных итераций. Эмуляция же интерпретатора слишком тяжёлая по таймингу операция. В случае VB она просто прекращается по лимиту инструкций, либо из за не эмуляции толстых апи.

    > это PoC'азательно

    Можно вообще не выполнять никакой код, а сформировать особый фомат пе модуля, который аввм не сможет даже загрузить. Это очень древняя тема, но до сих пор актуальна.
     
    _edge нравится это.
  10. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    пуффф... да хватит ныть уже... старперы!
     
  11. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    684
    Ну что понеслась - все ищут зомбу =))[​IMG]
     
  12. Alexey

    Alexey Инициативный

    Публикаций:
    1
    Регистрация:
    28 сен 2002
    Сообщения:
    271
    Васм станет лучше в техническом плане с одной стороны, и с другой стороны планируемые возможности прозрачной публикации статей позволят увеличить образовательную направленность портала. Контент форума зависит от вас, но некоторые темы требуют более осторожного подхода, с этой целью раздел вирусология получил незначительные ограничения по допуску. К слову я только что вернул отображение раздела в дерево узлов. Но он по прежнему не будет отображаться у новичков.
    По поводу других яп, Анатолий публикует замечательные вещи на вб, но наличия каких либо подразделов в WASM.LANGS не подразумевает строгих ограничений как и их отсутствие. Публикуйте в корень WASM.LANGS хоть код на яве, главное чтобы это было полезно и интересно хотябы части аудитории.
     
    Мановар, galenkane, yashechka и 2 другим нравится это.
  13. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    269
    Получается некая дискриминация для новичков, получать знания стало труднее из первых рук.
     
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Alexey,

    > некоторые темы требуют более осторожного подхода, с этой целью раздел вирусология получил незначительные ограничения по допуску.

    А почему так, хотелось бы подробности узнать. Ресурс не абузо устойчивый(в таком случае придётся и религ раздел скрыть) ?
     
  15. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    А че бы вам не открыть отдельный сайт по религии и политике. И сами там боритесь с абузами и неадекватами.

    galenkane,
    ну вы ссылку имеете, а за других не переживайте - кому надо тот найдет.
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TermoSINteZ,

    Так я не про то, тоесть вы не верно меня поняли. Единственная причина скрыть викс раздел - возможность абузы. Но есчо большая вероятность абузы на религ темы, так как рашу захватили попы, даже Йогу запретили.
     
  17. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    Indy_,
    Именно по этому - лучше на запрещенные темы общаться там, где будет меньше проблем. Сайт этот публичный - и надо в текущем мире быть гибким и уметь приспосабливаться. Тут ведь вопрос простой - либо вы хотите проблем, либо их избегаете разными методами и не идя на перекор "гос машине".
     
  18. Alexey

    Alexey Инициативный

    Публикаций:
    1
    Регистрация:
    28 сен 2002
    Сообщения:
    271
    насчет абуз точно не известно, но если и прикроют то мы найдем другую площадку или способ размещения, дело в другом, могут заблокировать например домен роскомнадзор или же санкции со стороны поисковых систем. с другой стороны антивирусы начнут в базы добавлять как вредоносный от чего мы избавились при старте на этом домене. Кроме того я надеюсь что "белая" образовательная сторона сайта будет сильнее серой, я буду рекомендовать портал студентам в вузах с которыми знаком и т.д. Исходя из этого сайт должен быть доступен не хуже других белых порталов и быть открытым для образования. если он будет заблокировать внешне и уйдет в тень то развитие самого сайта и в конечном итоге молодых умов данного направления пойдет вниз, останутся только старички а нам ведь нужно думать о будущем поколении)
     
  19. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TermoSINteZ,

    Для таких целей хост должен быть не раши. И тогда нет проблем. А выживать в идиотизме раши это не нужно такое.
     
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Alexey,

    Тоесть хост совершенно не защищён ?

    > Кроме того я надеюсь что "белая" образовательная сторона сайта будет сильнее серой

    Понятно что вам нужен некий разумный баланс, но его сейчас не может быть, так как произошло технологическое разделение - либо обсуждать лаб работы, либо виксы, так как это сейчас всё технологичное, а соответственно угроза.