Перейти к содержанию

Recommended Posts

Krec

Зайцев Олег

0. все виды (а также все подозрительно ПО)

1. Для идентификации легальность ПО и убедится, что соответствует с описанием (скажем дали ПО, который заливает файл в файлообменники. Мне надо понять этот ПО только заливает указанные файлы или еще другие файлы тоже? ну и т.п. дела)

2. Это очнь сложно и думаю не для моего уровня. ПОка хочу ручную это дела анализировать и понять что к чему

3. По времени пока нет особых ограничений, ну и не разумно было бы на один семпл тратить месяц или 2-3 недели.

Мне это пока нужно будет внутри кмпании "чисто для себя", учится работать с ним, а потом уже перейти на "боевые" задачи. А насчет

можно зверя признать чистым, а можно наоборот

то скжу, что все ошибаются, даже антивирусные гиганты... много раз было, что выслал подорительного ПО на ручной анализ ЛК и eset, и пришли совсем разные ответы. один подтверждал, что это malware(спасибо сказали за содействие), а второй сказал, что это безопасное ПО, нит ничегоподозрительного.

А мне простительно будет, если ошибусь, особо в первое время :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

0. все виды (а также все подозрительно ПО)

1. Для идентификации легальность ПО и убедится, что соответствует с описанием (скажем дали ПО, который заливает файл в файлообменники. Мне надо понять этот ПО только заливает указанные файлы или еще другие файлы тоже? ну и т.п. дела)

2. Это очнь сложно и думаю не для моего уровня. ПОка хочу ручную это дела анализировать и понять что к чему

3. По времени пока нет особых ограничений, ну и не разумно было бы на один семпл тратить месяц или 2-3 недели.

Мне это пока нужно будет внутри кмпании "чисто для себя", учится работать с ним, а потом уже перейти на "боевые" задачи. А насчет

то скжу, что все ошибаются, даже антивирусные гиганты... много раз было, что выслал подорительного ПО на ручной анализ ЛК и eset, и пришли совсем разные ответы. один подтверждал, что это malware(спасибо сказали за содействие), а второй сказал, что это безопасное ПО, нит ничегоподозрительного.

А мне простительно будет, если ошибусь, особо в первое время :)

0. Я так и думал. Но очень важно отметить, что для каждого типа малварей есть совои методики, подходы и инструментарий. Для руткитов нужно одно, для файловых инфекторов - другое, для троянов - третье ... И никакой уникальной "серебярянной пули" на все случай жизни нет. за исключением того, что исследователь малварей просто обязан хорошо знать принципы работы операционной системы, значть Assembler, владеть дизассемблерами и отладчиками

1. это нерешаемая простыми методами задача. Положим, что программа должна заливать файлы указанные файлы на заданный на файлообменник, проводим исследование и это подтверждается. но если сегодня пятница и 13-е число, время более 12:00, и на ПК есть документы с словом "секретно" в заголовке, то они будут переданы "куда надо". Если мы тестируем программу скажем в четверг 12-го, то мы такого поведения не увидим. А декомпилировать ее и изучить весь алгоритм работы на все случаи жизни (особенно если размер кода 2-3 мб) - почти нереально, на это нужна уйма времени и сил. И в итоге может отказаться, что за 1-2 дня можно написать свою такую программу, чем месяц изучать код чужой на дизассемблере :)

2-3. вручную - см. п.п. 0-1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Зайцев Олег

Я так и думал. Но очень важно отметить, что для каждого типа малварей есть совои методики, подходы и инструментарий. Для руткитов нужно одно, для файловых инфекторов - другое, для троянов - третье ... И никакой уникальной "серебярянной пули" на все случай жизни нет. за исключением того, что исследователь малварей просто обязан хорошо знать принципы работы операционной системы, значть Assembler, владеть дизассемблерами и отладчиками

ну я и не ожидал волшебную кнопку или программу, которое мне выдало какому типу пренадлежит тот или иной ПО. С работой ОС(WindXP/2003/7/2008/) хорошо знаком. Не знаю только API функции WIN32, т.к. никогда не занимался серьезно программированием. В университете изучали паскаль в первом курсе, а на 2-3 курсы уже Делфи. Парралельно я самостоятельно изучил Ассемблер, но все же незнаю почему мне казался, что программирование - это не мое :( и бросил это дело. Но имею базовые знание по ассемблеру.

это нерешаемая простыми методами задача. Положим, что программа должна заливать файлы указанные файлы на заданный на файлообменник, проводим исследование и это подтверждается. но если сегодня пятница и 13-е число, время более 12:00, и на ПК есть документы с словом "секретно" в заголовке, то они будут переданы "куда надо". Если мы тестируем программу скажем в четверг 12-го, то мы такого поведения не увидим. А декомпилировать ее и изучить весь алгоритм работы на все случаи жизни (особенно если размер кода 2-3 мб) - почти нереально, на это нужна уйма времени и сил. И в итоге может отказаться, что за 1-2 дня можно написать свою такую программу, чем месяц изучать код чужой на дизассемблере

Серьезно чтоли? :huh:

Вы мне перед тупиком поставили... получается зло всегда побеждает, как в фильме "оружейный барон" )))))))))))

И даже знания ассемблера не спасет отца демократии?

А как поступют "великие практики" ? все же должно быть метод какой то...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Если без радикализма. " Добавить все файлы подписанные данной ЭЦП в очередь команд с #  " " Добавить все файлы данного Производителя в очередь команд с #   " Это будет как: ;uVS v4.1.5 [http://dsrt.dyndns.org]
      ;Target OS: NTv10.0
      v400c
      # %Sys32%\DRIVERS\ASWARPOT.SYS
      #  %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
      #  %Sys32%\DRIVERS\ASWBIDSH.SYS
      #  %Sys32%\DRIVERS\ASWBLOG.SYS
      #  %Sys32%\DRIVERS\ASWBUNIV.SYS
      #  %Sys32%\DRIVERS\ASWHDSKE.SYS
      #  %Sys32%\DRIVERS\ASWKBD.SYS
      #  %Sys32%\DRIVERS\ASWMONFLT.SYS
      #  %Sys32%\DRIVERS\ASWRDR2.SYS
      #  %Sys32%\DRIVERS\ASWSNX.SYS
      #  %Sys32%\DRIVERS\ASWSP.SYS
      # %Sys32%\DRIVERS\ASWVMM.SYS
      deltmp
      restart На втором этапе оператор открывает вкладку: " Очередь команд " и отдаёт нужную команду: " Применить для всех объектов с # команду: delref " " Применить для всех объектов с # команду: delall " " Применить для всех объектов с # команду: dell " ( само собой - можно работать, как с группой объектов, так и с одиночным объектом ) Этапность позволит оператору не совершить ошибки и выбрать нужную команду.
    • aleks87
      Казино Буи - http://bit.ly/BOOIcaZino 100% на первый депозит
      Казино Чемпион - http://bit.ly/Chaampion бонус на 5 депозитов
      Казино Джой - http://bit.ly/Joy_Cazino 200% на первый депозит
      Казино Х - http://bit.ly/Cazino_X 200% на первый депозит
      ПлейФортуна - http://bit.ly/2playFortuna 100% на первый депозит
      Mr. Bit http://bit.ly/Mr_Bit 125% на первый депозит
      SlotV http://bit.ly/Slot_V 100% на первый депозит
      FrankCasino http://bit.ly/Frank_Cas 150 % на первый депозит
      APlayCasino http://bit.ly/APlay_Casino 300% на 5 депозитов
      Columbus http://bit.ly/Columbus6 105 % на первый депозит
      DriftCasino http://bit.ly/Drift_Casi 150% на депозит
      Сол казино http://bit.ly/SOLcasino 200% на первый депозит
      Слотум казино http://bit.ly/slotumCazino 100% на первый депозит
      Редбокс http://bit.ly/RedBoxcasino 125% на первый депозит
      Покердом http://bit.ly/P0kerd0m 150 % на первый депозит
    • valera007
      Спасибо за совет. Уже нашли хороший отпугиватель насекомых. Именно ультразвуковой. Купили на http://www.otpugiwateli.ru/ где тоже выбор неплохой. Посмотрите, если интересно. А за совет спасибо. Ваш сайт тоже очень хороший, но мы уже сделали покупку. 
    • ganny
      А мне Вулкан Ставка понравилось. И ставку можно сделать и в игровые автоматы порубиться. Да и коэффициенты повыше будут чем в леоне.
    • Elisea
      В прошлом году покупали папе на дачу культиватор электрический. Заказывали через интернет на этой платформе http://www.loplosh.ru/shop/elektro/loplosh-2200.html . Позитивные отзывы сыграли роль. Испробовали тогда же. Могу сказать ,что не обманули. Качественная техника. В этом году будем юзать.
×