B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Ну в общем правильно. Понимать как работают вирусы и реверс-инжиниринг, чтобы понимать как в принципе работают программы.И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)
Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))
Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?
Вот в этом то всё и дело, что Антивирусы не ставят перед собой такую задачу — лечить программу.такое ощущение что просто сносят зараженный файл, потому что нет гарантий что получится найти все и восстановить нормальную работоспособность файла.
даю подсказку. "Reverse engineering для чайников", "Вскрытие покажет. Практический анализ вредоносного ПО", "Malware analysis".Вот в этом то всё и дело, что Антивирусы не ставят перед собой такую задачу — лечить программу.
Однако Ваш ответ тут показывает на то, что вы кое что понимаете в теме реверсинга программ. И в Ассемблере. В связи с этим спрошу далее:
Что нужно для того. что бы:
1. Понять как заражён файл (вирус размазан или целиком...)?
2. Какое программное обеспечение необходимо, что бы копаться в коде (переход на зараженный участок, найти все части вируса, вернуть точку входа в программу).
3. Какая минимальная информационная база нужна, что бы совладать с такой задачей? (без лишнего академического багажа).
4. Какие форумы стоит задействовать в качестве поиска подсказок от опытных кодо-копателей?
Думаю, для начала вопросов достаточно.
О-о! Спасибо! Это уже интересно!даю подсказку. "Reverse engineering для чайников", "Вскрытие покажет. Практический анализ вредоносного ПО", "Malware analysis".
По инструментам, Flare-VM в помощь, на основе Win10.
я не знаю, что скажет M0r7iF3r, но без знаний АСМ, языков программирования C/C++ (как минимум), WinAPI, тебе будет очень сложно двигаться в направление анализа вирусов. И знания нужны не просто на базовом уровне.
без знаний АСМ, языков программирования C/C++ (как минимум), WinAPI.....
P.S.
TryHackMe посмотри, там комнаты по анализу вирусов есть.
128 City Road, Лондон, EC1V 2NXTryHackMe
вирусы пишутся в основном, на C/C++/C#, в последнее время ещё и на Go, есть ещё один язык программирования, но я забыл название, после криптуются и/или обфусцируются, так что работы не початый край будет при анализе последнего.128 City Road, Лондон, EC1V 2NX
Переводить страницы в браузере конечно тоже можно. Но может есть какие то русскоязычные ресурсы подобной практики?
Ассемблер в данный момент в процессе ознакомления. С++ это первый язык с которым я познакомился. К сожалению практики весьма мало, но какое то представление имею.
Я про этот ресурс спросил: TryHackMe. Он из Лондона вещает. Есть ли что то подобное в русскоязычном сегменте?Приведенные мной ресурсы, первые две книги, на русском языке есть, так что поисковик в помощь. Даже при анализе придется очень много искать информации.
не встречал. Если только слитые курсы от Otus как базовый пойдет.Я про этот ресурс спросил: TryHackMe. Он из Лондона вещает. Есть ли что то подобное в русскоязычном сегменте?
А книжки уже нашёл. Спасибо))
Вот это ещё хочу уточнить. АСМ... Это Ассемблер или что то ещё имели ввиду?без знаний АСМ...
все верно, АСМ-это ассемблер.Вот это ещё хочу уточнить. АСМ... Это Ассемблер или что то ещё имели ввиду?
Я лишь поверхностно знаком с реверсом малвари, на уровне общией идеи, никогда не хватало терпения таким заниматься без крайней необходимости. А так тебе все верно подсказали. Можно глянуть в сторону курсов на этом ресурсе, здесь в академии есть и введение и более глубокий курс. Из книг еще можно добавить Фундаментальные основы хакерства.
я бы предложил сделать так, как делают при поиске 1-Day уязвимостей - берется оригинальный файл и измененный и анализируешь в гидре/иде разницу между этими файлами.
Ну в общем правильно. Понимать как работают вирусы и реверс-инжиниринг, чтобы понимать как в принципе работают программы.И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)
Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))
Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?
ещё как писал, выше придется читать документацию Microsoft по API, потому как пробовать списать вирусы ты будешь на уже так же перечисленных выше языках программирования.И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)
Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))
Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?
Я так чувствую, придётся ещё по Линуксу читать, а не только по Майкрософт.ещё как писал, выше придется читать документацию Microsoft по API...
по поводу книги Фундаментальные основы хакерства, она скорее всего больше подойдёт для крекинга, чем для анализа малвари + имеет отсылку к ещё 2 книги, которые необходимо прочитать до чтения указанной книги.Я лишь поверхностно знаком с реверсом малвари, на уровне общией идеи, никогда не хватало терпения таким заниматься без крайней необходимости. А так тебе все верно подсказали. Можно глянуть в сторону курсов на этом ресурсе, здесь в академии есть и введение и более глубокий курс. Из книг еще можно добавить Фундаментальные основы хакерства.
По разработке малвари можно глянуть какСсылка скрыта от гостей, так и поискать курс отСсылка скрыта от гостей, все равно без понимания как ее пишут будет не понятно что искать в чужом коде.
Ну а если тебе простым способом надо выделить малварь из бинарника, я бы предложил сделать так, как делают при поиске 1-Day уязвимостей - берется оригинальный файл и измененный и анализируешь в гидре/иде разницу между этими файлами.
И что это за два произведения?+ имеет отсылку к ещё 2 книги, которые необходимо прочитать до чтения указанной книги.
на Linux малвари не видел, врать не буду, основная часть пользователей сидит на "окнах", на Linux можно собирать, это удобно, но вот проводить отладку, это будет весело.Я так чувствую, придётся ещё по Линуксу читать, а не только по Майкрософт.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!