Сбор системы для анализа

[Krec 1]

Зайцев Олег

0. все виды (а также все подозрительно ПО)

1. Для идентификации легальность ПО и убедится, что соответствует с описанием (скажем дали ПО, который заливает файл в файлообменники. Мне надо понять этот ПО только заливает указанные файлы или еще другие файлы тоже? ну и т.п. дела)

2. Это очнь сложно и думаю не для моего уровня. ПОка хочу ручную это дела анализировать и понять что к чему

3. По времени пока нет особых ограничений, ну и не разумно было бы на один семпл тратить месяц или 2-3 недели.

Мне это пока нужно будет внутри кмпании "чисто для себя", учится работать с ним, а потом уже перейти на "боевые" задачи. А насчет

можно зверя признать чистым, а можно наоборот

то скжу, что все ошибаются, даже антивирусные гиганты... много раз было, что выслал подорительного ПО на ручной анализ ЛК и eset, и пришли совсем разные ответы. один подтверждал, что это malware(спасибо сказали за содействие), а второй сказал, что это безопасное ПО, нит ничегоподозрительного.

А мне простительно будет, если ошибусь, особо в первое время

[Зайцев Олег 402]

Зайцев Олег

0. все виды (а также все подозрительно ПО)

1. Для идентификации легальность ПО и убедится, что соответствует с описанием (скажем дали ПО, который заливает файл в файлообменники. Мне надо понять этот ПО только заливает указанные файлы или еще другие файлы тоже? ну и т.п. дела)

2. Это очнь сложно и думаю не для моего уровня. ПОка хочу ручную это дела анализировать и понять что к чему

3. По времени пока нет особых ограничений, ну и не разумно было бы на один семпл тратить месяц или 2-3 недели.

Мне это пока нужно будет внутри кмпании "чисто для себя", учится работать с ним, а потом уже перейти на "боевые" задачи. А насчет

то скжу, что все ошибаются, даже антивирусные гиганты... много раз было, что выслал подорительного ПО на ручной анализ ЛК и eset, и пришли совсем разные ответы. один подтверждал, что это malware(спасибо сказали за содействие), а второй сказал, что это безопасное ПО, нит ничегоподозрительного.

А мне простительно будет, если ошибусь, особо в первое время

0. Я так и думал. Но очень важно отметить, что для каждого типа малварей есть совои методики, подходы и инструментарий. Для руткитов нужно одно, для файловых инфекторов - другое, для троянов - третье ... И никакой уникальной "серебярянной пули" на все случай жизни нет. за исключением того, что исследователь малварей просто обязан хорошо знать принципы работы операционной системы, значть Assembler, владеть дизассемблерами и отладчиками

1. это нерешаемая простыми методами задача. Положим, что программа должна заливать файлы указанные файлы на заданный на файлообменник, проводим исследование и это подтверждается. но если сегодня пятница и 13-е число, время более 12:00, и на ПК есть документы с словом "секретно" в заголовке, то они будут переданы "куда надо". Если мы тестируем программу скажем в четверг 12-го, то мы такого поведения не увидим. А декомпилировать ее и изучить весь алгоритм работы на все случаи жизни (особенно если размер кода 2-3 мб) - почти нереально, на это нужна уйма времени и сил. И в итоге может отказаться, что за 1-2 дня можно написать свою такую программу, чем месяц изучать код чужой на дизассемблере

2-3. вручную - см. п.п. 0-1

[Krec 1]

Зайцев Олег

Я так и думал. Но очень важно отметить, что для каждого типа малварей есть совои методики, подходы и инструментарий. Для руткитов нужно одно, для файловых инфекторов - другое, для троянов - третье ... И никакой уникальной "серебярянной пули" на все случай жизни нет. за исключением того, что исследователь малварей просто обязан хорошо знать принципы работы операционной системы, значть Assembler, владеть дизассемблерами и отладчиками

ну я и не ожидал волшебную кнопку или программу, которое мне выдало какому типу пренадлежит тот или иной ПО. С работой ОС(WindXP/2003/7/2008/) хорошо знаком. Не знаю только API функции WIN32, т.к. никогда не занимался серьезно программированием. В университете изучали паскаль в первом курсе, а на 2-3 курсы уже Делфи. Парралельно я самостоятельно изучил Ассемблер, но все же незнаю почему мне казался, что программирование - это не мое и бросил это дело. Но имею базовые знание по ассемблеру.

это нерешаемая простыми методами задача. Положим, что программа должна заливать файлы указанные файлы на заданный на файлообменник, проводим исследование и это подтверждается. но если сегодня пятница и 13-е число, время более 12:00, и на ПК есть документы с словом "секретно" в заголовке, то они будут переданы "куда надо". Если мы тестируем программу скажем в четверг 12-го, то мы такого поведения не увидим. А декомпилировать ее и изучить весь алгоритм работы на все случаи жизни (особенно если размер кода 2-3 мб) - почти нереально, на это нужна уйма времени и сил. И в итоге может отказаться, что за 1-2 дня можно написать свою такую программу, чем месяц изучать код чужой на дизассемблере

Серьезно чтоли?

Вы мне перед тупиком поставили... получается зло всегда побеждает, как в фильме "оружейный барон" )))))))))))

И даже знания ассемблера не спасет отца демократии?

А как поступют "великие практики" ? все же должно быть метод какой то...