господа, не смешивайте дебаггер с деассемблером - деассемблирование - это задача анализа, то есть наиболее гибкая система поиска взаимосвязей, декомпиляции, именования объектов, структур, меток итд итп, а дебуггер это грубо говоря инструмент для расстановки брякпоинтов и поиска mov ds:[0], 0. я думаю каждый инструмент должен выполнять свою задачу. и ида, что тут темнить - на мой взгляд лучший инструмент для анализа. а для отладки - олли или виндбг, это исключительно мое имхо) пс а вообще чтение мануала должно очень помочь)
sn0w Декомпиляция != дизассемблирование. Последнее это первый из многих этапов декомпиляции. Отладчик содержит декомпилятор/интерпретатор/дизассемблер как основу. Дизассемблер не содержит ни декомпилятора, ни отладчика. И чтобы определить тот ваш mov ds:[0],0 нужно дизасмить код, чтобы мнемонику получить.
Как в иде разбираться в коде, накрытом каким нибудь пакером/криптером? Как крис каперски писать скрипты?
K10 А крис каперски умеет скрипты писать? просто он обычно много текста, но семплов нет. Эмулить ... Собственно в чем проблема? при чем эмуль будет более управляемый чем дебаггер ...
Ну... О_О Я буду смотреть. Не верится чото. Хотя умеючи-то наверное можно и винхексом все это делать Дампить, какие проблемы.
Если речь о простом шифровании, то можно наваять скрипт прямо в иде, который расшифрует байтики и дизассемблировать дальше.
spa Эмулить ход выполнения .. А вообще смотря зачем делать анализ ... Вот вопрос как будем UMDD (User mode dislpay driver ) в Ольге дебажить?
shchetinin Помнится мне, как он ковырял Rustock.C в ИДЕ с помощью скриптов или эмуляторов или хз чего еще. М.б. КК сам внесет ясность по поводу результатов?
K10 Это было в подвале и снизу капала вода. А есчо тулза та секретная, она только в бункерах макафи есть.
K10 Годный семпел к: так вот кто сможет его отладить в олиге на 6.1(6.2) ядре x64 битности? spa Вот и оля тут не справится ... А вот эмуль для иды вполне ...
spa там можно делать вполне годные скрипты, а также плагины. shchetinin Соневаюсь насчет эмуля для иды. Тогда его вроде как расковыряли с помощью какого то сверхсекретного эмулятора винды, слезно выпрошенного у Майкрософт.
K10 годные понятие растяжимое, сама оля не сильно расположена к автоматизации, можно и утюгом гвозди забивать ( пробовал ) но это не катит. Сейчас конечно кроме оли нечего нету.
spa сейчас нету, а когда было? K10 Вы и в правду верите в то что аверы сидят в ольге на куче виртуалках и пытаются его дебажить ? По мне это как то странно ... Думаю план у них прост ... 1) Стоит облако готовых виртуалок на удаленнное подключения ( Не требую мощных компов и установки локально виртуалки что прямо линейно говорит как бы о деньгах ) wmpayer 2) IDA pro + куча скриптов ( плагин ) - создание сигнатур, анпакеров( или вы думаете что они вручную просматривают пару сотен вирус в день ) .. А анпакеры думаете делают CreateProcess ? чето я думаю врятли , он из за каждой вирусятины согласны восстанавливать снапшоты виртуалок , похоже что у них эмули годные есть ... sandbox ... На врятли аверы клянчили у майкрософта , что то подсказывает очередную сказку ...
