>> машинные коды исполняются не на реальном процессоре, а обрабатываются программным кодом.
Не уверен что полностью каждую маш. команду в терминах других, т.к. это бы вызвало «дикие тормоза» ;) Вероятно все-таки на реальном процессоре с подрузкой очередной порции кода…
То что эти понятия разные конечно же понимаю, именно поэтому дополнил словами:
>>это не совсем песочница.
Это была попытка, сказать, что на мои слова не стоит опираться.
И еще: Не смотря на то что эти понятия отчетливо понимаю я все же предпочитаю говорить «не понимаю», т.к. не могу сформулировать, чтобы их пояснить. В виду того что эти понятия довольно важные, мне так кажется, у меня к Вам просьба их описать, хотя бы кратко. Мне очень хочется видеть формулировку этих понятий не из под пера маркетолога, а из головы непосредственно вирусного аналитика.
Уточнил, то что описал выше в 00:00 это не совсем песочница. Термин того что я описал уже не помню, но функционал является сейчас основным для АВ. Что такое посочница почитайте тут на хабре
>>всё-таки некую виртуальную машину?
На мой взгляд, а я могу и ошибаться, это виртуальная машина. Однако хитрая вирт.машина. Ее цель это дальнейшее сопровождение процесса с возможностью отката тех действий, что сотворил бинарь. Ведь после того как файл был «обнюхан» и во время этого процесса не было вердикта «вирус», то антивирусу ничего не остается кроме как признать файл чистым до тех пор пока не проявится вредоносная функциональность. Возникает вопрос: Как вернуться к тому состоянию, чтобы было до работы файла? То что пользователя предупредили о вреде это конечно хорошо, но вот спасли? Помогли?
Я могу и ошибаться в предположениях работы «песочницы», но на мой взгляд это оно и есть ;) В любом случае, описанные мною действия имеют место быть ;)
>>не реализуют должным образом описанные функции?
Мне кажется Вы не совсем четко понимаете работу эмуляторов. Дело в том, что эмуляторы реализуют поведение той или иной API функции по мере необходимости. Как только встречается в «дикой природе», т.е. у пользователей файл который содержит API-функцию, которая не реализована и мешает «детектировать» файл, то только тогда и «докручивается» эмулятор.
Ровно этим же самым путем движется любой проект подобного рода, к примеру Wine. Да и если присмотреться вообще к разработке, она движется точно также. Есть проблема, значит надо оценить ее критичность и только потом уже браться за работу. ;)
На мой взгляд на Ваш вопрос нету единственно правильного ответа. Но тем не менее я склоняюсь к тому что человек работает для того чтобы жить, а не живет для того чтобы работать. У меня есть семья, есть та которая заставляет биться мое сердце и если честно, то никакое хобби не заменит мне семью. Задачи могут быть сколь угодно интересными, но ни одной задаче не под силу вызвать те самые эмоции, которые возникают, когда моя жена улыбается мне.
Это при том, что сам люблю засидеться до глубокой ночи изучая FreeBSD или чего-нить разрабатывая или еще чего-нить )
На мой взгляд хороший программер это тот, который спустя годы натолкнулся на код и поняв его воскликнул «Вот именно так и надо писать программы», забыв при этом что автором этого кода является он сам.
Именно к этому критерию и стремлюсь, но пока могу сказать, что не совсем хороший программер, т.к. всегда нахожу что-нибудь что можно зарефакторить.
З.Ы.: Это стремление было сгенерировано в моей голове после прочтения Реймонда про программирование под UNIX, разделы «компактность» и «воспринимаемость»
>>Вот честно скажу: не знаю, основан он на LZ или нет. apLib и дело с концом
apLib? Этож LZ. Встречается в RlPak, PePack и во множестве малвары с обфускацией и заменой констант
Упс. Не заметил:
>>Для этого напишем свою dll (или несколько, кому как угодно) с заглушками необходимых функций.
Но на мой взгляд лучше всего делать не в OllyDebug, а связке VMware+VirtualKD -> WinDbg. Если прикрутить pykd это модуль скриптования WinDbg на Python
>>Чтобы драйвер мог подгрузить именно нашу dll, а не системную, пропатчим имена импортируемых модулей, на подготовленные нами.
А что из себя представляет Hak.dll? Это пропатченный ntoskrnl.exe или это ваша кастомная?
>>впринципе, в 99% случаев будет достаточно
Ну это немного из другой оперы. Топик-автор находился в ситуации по выбору для себя чем бы заняться. Он даже написал прямым текстом «Был скучный вечер....». Вот если бы он находился в ситуации «Скачал программу, а она оказалось жадной и я принялся ее ломать», ваши слова про ру-боард имели бы смысл, т.к. любой специалист должен быть рациональным и эффективно использовать время. Поэтому предварительный просмотрна ру-боард было бы наилучшим решением, чтобы с экономить время.
>>Был скучный вечер, я искал программу
Настоятельно рекомендую заглядывать на форумы, возможно ты узнаешь то что требуется массе людей, а у них в отличии от тебя нет ни времени ни навыков, чтобы осуществить взлом. ИМХО.
Вопросы:
1) У вас рабочая фаза во сколько? В какой период времени у вас максимальная продуктивность и не сместилась ли она?
2) Не стало ли хотеться раньше ложиться спать? Ведь вы могли ложиться позже и сделать по дому больше, а тут могло поменяться.
Как-то на кухне в нашей небольшой по штату конторке вскрыли конфетку и там на фантике написано: «Забыл об отпуске, значит самое время забыть о работе».
>> есть такие паразиты, которые на шею могут сесть легко и непринужденно
Почти сутки не давали покоя эти слова :)
Пришел к следующему: Начнем с факта, что паразиты — тоже люди. Как и все люди паразиты тоже имеют потребности. Следует учесть, что когда руководитель говорил отделу кадров при приеме на работу «паразита» он наверняка видел хоть какое-то умение думать у паразита. Из этого следует, что либо руководитель недалеко ушел от паразита, либо не объяснил паразиту, когда можно садиться на шею. Ну и как уже говорили уже в коментах мотивацию никто не отменял!
На мой взгляд подход к паразиту должен быть примерно таков: «У нас работают Вася, Петя, Дима, Женя, ..., и ты. Мы получаем в месяц ИКС рублей. Вася сделал работы на N1 %, Петя на N2%,… ты сделал на N0%. Объясни мне пожалуйста почему я должен отнять деньги у другого члена команды и дать их тебе?».
Другими словами: пояснение в цифрах как подсчитан доход паразита даст понять паразиту, что нужно работать или паразитировать в другом месте.
К сожалению так и не осилил эту книгу. Дома лежит и сколько раз не брался потом все равно закрывал из-за обилия математических формул. В виду того, что мой математич. уровень не так высок, приходится «буксовать» и в очередной раз делаю вывод: «Интересно, полезно, но столько тратить время на разбор формул не могу».
Мне кажется или вы реально хотите обидеть пользователей Far-a?
Не уверен что полностью каждую маш. команду в терминах других, т.к. это бы вызвало «дикие тормоза» ;) Вероятно все-таки на реальном процессоре с подрузкой очередной порции кода…
>>это не совсем песочница.
Это была попытка, сказать, что на мои слова не стоит опираться.
И еще: Не смотря на то что эти понятия отчетливо понимаю я все же предпочитаю говорить «не понимаю», т.к. не могу сформулировать, чтобы их пояснить. В виду того что эти понятия довольно важные, мне так кажется, у меня к Вам просьба их описать, хотя бы кратко. Мне очень хочется видеть формулировку этих понятий не из под пера маркетолога, а из головы непосредственно вирусного аналитика.
На мой взгляд, а я могу и ошибаться, это виртуальная машина. Однако хитрая вирт.машина. Ее цель это дальнейшее сопровождение процесса с возможностью отката тех действий, что сотворил бинарь. Ведь после того как файл был «обнюхан» и во время этого процесса не было вердикта «вирус», то антивирусу ничего не остается кроме как признать файл чистым до тех пор пока не проявится вредоносная функциональность. Возникает вопрос: Как вернуться к тому состоянию, чтобы было до работы файла? То что пользователя предупредили о вреде это конечно хорошо, но вот спасли? Помогли?
Я могу и ошибаться в предположениях работы «песочницы», но на мой взгляд это оно и есть ;) В любом случае, описанные мною действия имеют место быть ;)
Мне кажется Вы не совсем четко понимаете работу эмуляторов. Дело в том, что эмуляторы реализуют поведение той или иной API функции по мере необходимости. Как только встречается в «дикой природе», т.е. у пользователей файл который содержит API-функцию, которая не реализована и мешает «детектировать» файл, то только тогда и «докручивается» эмулятор.
Ровно этим же самым путем движется любой проект подобного рода, к примеру Wine. Да и если присмотреться вообще к разработке, она движется точно также. Есть проблема, значит надо оценить ее критичность и только потом уже браться за работу. ;)
Это при том, что сам люблю засидеться до глубокой ночи изучая FreeBSD или чего-нить разрабатывая или еще чего-нить )
Именно к этому критерию и стремлюсь, но пока могу сказать, что не совсем хороший программер, т.к. всегда нахожу что-нибудь что можно зарефакторить.
З.Ы.: Это стремление было сгенерировано в моей голове после прочтения Реймонда про программирование под UNIX, разделы «компактность» и «воспринимаемость»
apLib? Этож LZ. Встречается в RlPak, PePack и во множестве малвары с обфускацией и заменой констант
>>Для этого напишем свою dll (или несколько, кому как угодно) с заглушками необходимых функций.
Но на мой взгляд лучше всего делать не в OllyDebug, а связке VMware+VirtualKD -> WinDbg. Если прикрутить pykd это модуль скриптования WinDbg на Python
А что из себя представляет Hak.dll? Это пропатченный ntoskrnl.exe или это ваша кастомная?
>>ln -sf /usr/share/zoneinfo/Europe/Moscow /etc/localtime
может потребоваться:
# rm /etc/localtime
мне потребовалось сегодня.
Я очень редко кому даю сидеть за своей машиной
Ну это немного из другой оперы. Топик-автор находился в ситуации по выбору для себя чем бы заняться. Он даже написал прямым текстом «Был скучный вечер....». Вот если бы он находился в ситуации «Скачал программу, а она оказалось жадной и я принялся ее ломать», ваши слова про ру-боард имели бы смысл, т.к. любой специалист должен быть рациональным и эффективно использовать время. Поэтому предварительный просмотрна ру-боард было бы наилучшим решением, чтобы с экономить время.
Настоятельно рекомендую заглядывать на форумы, возможно ты узнаешь то что требуется массе людей, а у них в отличии от тебя нет ни времени ни навыков, чтобы осуществить взлом. ИМХО.
1) У вас рабочая фаза во сколько? В какой период времени у вас максимальная продуктивность и не сместилась ли она?
2) Не стало ли хотеться раньше ложиться спать? Ведь вы могли ложиться позже и сделать по дому больше, а тут могло поменяться.
Почти сутки не давали покоя эти слова :)
Пришел к следующему: Начнем с факта, что паразиты — тоже люди. Как и все люди паразиты тоже имеют потребности. Следует учесть, что когда руководитель говорил отделу кадров при приеме на работу «паразита» он наверняка видел хоть какое-то умение думать у паразита. Из этого следует, что либо руководитель недалеко ушел от паразита, либо не объяснил паразиту, когда можно садиться на шею. Ну и как уже говорили уже в коментах мотивацию никто не отменял!
На мой взгляд подход к паразиту должен быть примерно таков: «У нас работают Вася, Петя, Дима, Женя, ..., и ты. Мы получаем в месяц ИКС рублей. Вася сделал работы на N1 %, Петя на N2%,… ты сделал на N0%. Объясни мне пожалуйста почему я должен отнять деньги у другого члена команды и дать их тебе?».
Другими словами: пояснение в цифрах как подсчитан доход паразита даст понять паразиту, что нужно работать или паразитировать в другом месте.