-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Очистка исполняемого файла от вируса с сохранением работоспособности программы. Возможно ли это?
- Автор темы Вольфрам
- Дата начала
Решение
Чтобы понимать как вылечить, нужно понять как файл заражается. Например, вирус может как засунуть себя в какую-то часть кода целиком, так и размазать свой код по разным участкам программы. Затем переход на зараженный участок кода может быть из начала, середины или конца программы. Чтобы файл вылечить, надо найти все части вируса, вернуть точку входа в программу, если была изменена, и восстановить возможно перезаписанные данные. Лично я хз лечит ли сейчас хоть один АВ, такое ощущение что просто сносят зараженный файл, потому что нет гарантий что получится найти все и восстановить нормальную работоспособность файла.
Вот в этом то всё и дело, что Антивирусы не ставят перед собой такую задачу — лечить программу.
Однако Ваш ответ тут показывает на то, что вы кое что понимаете в теме реверсинга программ. И в Ассемблере. В связи с этим спрошу далее:
Что нужно для того. что бы:
1. Понять как заражён файл (вирус размазан или целиком...)?
2. Какое программное обеспечение необходимо, что бы копаться в коде (переход на зараженный участок, найти все части вируса, вернуть точку входа в программу).
3. Какая минимальная информационная база нужна, что бы совладать с такой задачей? (без лишнего академического багажа).
4. Какие форумы стоит задействовать в качестве поиска подсказок от опытных кодо-копателей?
Думаю, для начала вопросов достаточно.
даю подсказку. "Reverse engineering для чайников", "Вскрытие покажет. Практический анализ вредоносного ПО", "Malware analysis".
По инструментам, Flare-VM в помощь, на основе Win10.
Форумы, не знаю, а вот харб можно по копать в поисках инфы, так же можно посмотреть в сторону журнала хакер и естественно есть ещё Ютуб + слитые курсы по исследования вирусов.
Последнее редактирование:
я не знаю, что скажет M0r7iF3r, но без знаний АСМ, языков программирования C/C++ (как минимум), WinAPI, тебе будет очень сложно двигаться в направление анализа вирусов. И знания нужны не просто на базовом уровне.
P.S.
TryHackMe посмотри, там комнаты по анализу вирусов есть.
128 City Road, Лондон, EC1V 2NX
Переводить страницы в браузере конечно тоже можно. Но может есть какие то русскоязычные ресурсы подобной практики?
Ассемблер в данный момент в процессе ознакомления. С++ это первый язык с которым я познакомился. К сожалению практики весьма мало, но какое то представление имею.
вирусы пишутся в основном, на C/C++/C#, в последнее время ещё и на Go, есть ещё один язык программирования, но я забыл название, после криптуются и/или обфусцируются, так что работы не початый край будет при анализе последнего.
Приведенные мной ресурсы, первые две книги, на русском языке есть, так что поисковик в помощь. Даже при анализе придется очень много искать информации.
не встречал. Если только слитые курсы от Otus как базовый пойдет.
А английский все равно придется учить, т.к большинство именитых исследователей из зарубежья.
Я лишь поверхностно знаком с реверсом малвари, на уровне общией идеи, никогда не хватало терпения таким заниматься без крайней необходимости. А так тебе все верно подсказали. Можно глянуть в сторону курсов на этом ресурсе, здесь в академии есть и введение и более глубокий курс. Из книг еще можно добавить Фундаментальные основы хакерства.
По разработке малвари можно глянуть как
Ссылка скрыта от гостей
, так и поискать курс от
Ссылка скрыта от гостей
, все равно без понимания как ее пишут будет не понятно что искать в чужом коде.Ну а если тебе простым способом надо выделить малварь из бинарника, я бы предложил сделать так, как делают при поиске 1-Day уязвимостей - берется оригинальный файл и измененный и анализируешь в гидре/иде разницу между этими файлами.
И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)
Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))
Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?
Ну в общем правильно. Понимать как работают вирусы и реверс-инжиниринг, чтобы понимать как в принципе работают программы.
ещё как писал, выше придется читать документацию Microsoft по API, потому как пробовать списать вирусы ты будешь на уже так же перечисленных выше языках программирования.
И если пойдешь по пути реверс инженерами, то придется ещё осваивать отладчики и с чем их едят. В общем работы непочатый край.
Из курсов. Codeby "Ведение в реверс инжиниринг".
по поводу книги Фундаментальные основы хакерства, она скорее всего больше подойдёт для крекинга, чем для анализа малвари + имеет отсылку к ещё 2 книги, которые необходимо прочитать до чтения указанной книги.
на Linux малвари не видел, врать не буду, основная часть пользователей сидит на "окнах", на Linux можно собирать, это удобно, но вот проводить отладку, это будет весело.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!