с аких пор спецслужбы стали легальным видом деятельности ??? дажь сугубо на своей территории их действия зачастую располагаются в серой зоне с уходом во Тьму конечно, реверсинг == еть сущая мелочь в сравнение с прочими задачами.. Однако, твой ответ не принят. во-1ых, патентный троллинг всё же серое занятие. во-2ых, суду религия запрещает запросить у ответчика исходные коды.. с акого боку тута реверсинг нужОн ??? и опять повторяюсь.. те, кто на окладе имеют доступ к исходникам, тч им вполне хватает нормального отладчика. единственный стопудово белый реверс == еть проверять СОБСТВЕННЫЙ КОД на защиту от реверса. но по мне == еть идиотизм
я всегда использовал иду для только одной цели - реверс малвари, этим же занимаются сотрудники антивирусных компаний, безопасники в случаях инцидентов компьютерной безопасности и другие... как бы вполне легальное применение...
реверс малвари вполне нормально делается отладчиком. основные вопросы малвари.. 1. аким дикобразом она запускается. 2. аким скрывается. +++ запускаются чрез инжекты аль мануально, а скрываются хуками апи == эти коды в основном довольно малого размера, что делает применение Иды эдакой поездкой за картохой на дачу на гелике роскошно, конечно, жить не запретишь, но реальной надобности Иды в белой зоне в сущности няма.
к сожалению не всегда можно все что нужно понять в динамике, я юзаю куку сендбокс достаточно часто, но бывает патчу идой всякие алгоритмы для противодействия отладке или виртуальным машинам... понятно, что если тебе приходит по пачке разной малвари в неделю, то особо париться с анализом идой не стоит... но когда тебя просят детально разобрать и описать один семпл, то без иды не обойтись... и за это кстати платят существенно больше...
я никогда не работал на аверов, но предполагаю, что для того, чтобы заточить эвристику под определенный набор полиморфных семплов например, чисто динамическим анализом это не решить...
а семпл в среднем аких размеров? малварю проще утопить в песочницах + ограничить длину строк в ipc & net и сразу ПОЧТИ все инжекты идут Лесом-де Садом.
400кб наверное в среднем для си/плюсов, но надо понимать, что очень часто там статическая линковка с стандартными либами, плюс всякая чушь типа zlib, mbedtls, openssl и тд... последнее время часто попадались на дельфях семплы, там размер поболее, 1мб в среднем наверное.. ненавижу разбирать делфи, куча таблиц виртуальных методов, которые в перемешку с кодом, паскалевские строки, которые ида не очень хорошо понимает и тд...
На эксплоите сейчас малварь продают на донете и голанге. И это нередкость. А еще прикольно намутить на плюсах полиморфизм с NVM избыточным, попилить на мелкие методы, докинуть std::function с лямбдами. Прикольно такое реверсить наверное А потом берешь просто собираешь на gcc вместо msvc и там такой жестяк по бинарному коду, особенно х64. Сотрудники АВ часто к суициду прибегают? Есть стата?
короче, малварь теперь прям в виде фреймворков.. раньше помнится за каждый байт боролись, а теперяча совсем стыд потеряли угу, нашёл суицидников == публику они на своих сомнительных поделках стрегут просто на ура
UbIvItS, я предполагаю, что нет времени биться за каждый байт) все быстро меняется и сложность растет.
Ты что решил уйти в глубокое подполье ??? Во-1ых, рукописи не горят == вся инфа сохраняется дажь на меня… хотя в этом смысла-то особого и нет Во-2ых, если в таких делах и возникают проблемы, то уж точно не из-за поста на форуме. +++ короче, не переживай
