primath 9 янв 2023 в 18:03

Безопасный анализ вредоносного ПО

3 мин

4.6K

Информационная безопасность*Реверс-инжиниринг*

Туториал

Комментарии 16

dcc0 9 янв 2023 в 18:14

Вы никогда не задумывались о том, что может быть никакого вредоносного ПО не существует?!
Что это фикция?! Что-то вроде ветряной мельницы, с которой вы боретесь?!

primath 9 янв 2023 в 18:19

Это как если нас не существует, а мы лишь вымышленные персонажи двухтомника, над которыми настоящие существующие смеются и нетерпением ждут очередного анекдота в наших сценариях

dcc0 10 янв 2023 в 06:10

Вот. "Рассказы о компьютерных вирусах - это все равно что сказки о крокодилах в метро Нью-Йорка".

miae 10 янв 2023 в 05:41

"Здесь я расскажу о настройке рабочего окружения для безопасного статического анализа вредоносных файлов в среде Windows." IMHO, статический анализ предполагает работу с исходниками без необходимости запуска результатов компиляции.

Про варианты обхода такой защиты через пайп писать не буду )

primath 10 янв 2023 в 05:46

Чаще всего исходников нет, и работать нужно с бинарём. Обычно вредоносные файлы распространяются без сопровождающего кода и документации. Но с кодом, конечно, тоже приходится работать. Кстати, я бы прочёл, что значит в данном случае через пайп.

vldmrmlkv 10 янв 2023 в 05:48

SRP несколько раз спасало от распространения вирусов в локальной сети, но также можно и антивирусы отключать

primath 10 янв 2023 в 05:51

Но это же не спасёт от заражения конкретного компьютера, где проводится анализ. Возьмём, к примеру, Trojan-Ransom (вымогатель), который просто зашифрует все файлы типа документы.

vldmrmlkv 10 янв 2023 в 10:37

А зачем для подобного использовать свой рабочий комп, а не виртуальную машину? Почему windows, а не linux?

В моём случае это был исполняемый файл в запароленном архиве, пароль в письме, юзер открыл и ничего не произошло т.к. сработал SRP, который был настроен заранее, пользователь не от админа работал, был запрещён запуск PS и cmd не от админа, настроен антивирус.

primath 10 янв 2023 в 11:05

В моём случае ...

У вредоноса не было шансов

А зачем ...

В идеале, да, нужно смотреть в безопасном окружении. Но большую часть статического анализа с файлом можно выполнить на рабочем компьютере. Windows до сих пор наиболее распространённая ОС среди конечных пользователей не только в РФ, но и по миру. В linux, конечно, сразу решается большая часть вопросов по безопасному анализу, но не все готовы туда перескочить. Здесь же говорится про то, что есть тушка вредоноса на диске, и эту тушку уже исследуют (это может быть eml с вложением, PE файл, документ с макросом или эксплоитом, и т.д.).