• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Очистка исполняемого файла от вируса с сохранением работоспособности программы. Возможно ли это?

20.12.2023
13
0
BIT
61
Здравствуйте!
У меня есть коллекция программ из разных источников. Большинство файлов с вирусами. Хотелось бы научиться лечить такие файлы, с сохранением работоспособности самих программ. Есть ли такие возможности? И если да., то как это делается?
 
Решение

И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)​

Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))​

Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?​

Ну в общем правильно. Понимать как работают вирусы и реверс-инжиниринг, чтобы понимать как в принципе работают программы.

UserName011

Green Team
01.09.2020
129
2
BIT
478
Чтобы понимать как вылечить, нужно понять как файл заражается. Например, вирус может как засунуть себя в какую-то часть кода целиком, так и размазать свой код по разным участкам программы. Затем переход на зараженный участок кода может быть из начала, середины или конца программы. Чтобы файл вылечить, надо найти все части вируса, вернуть точку входа в программу, если была изменена, и восстановить возможно перезаписанные данные. Лично я хз лечит ли сейчас хоть один АВ, такое ощущение что просто сносят зараженный файл, потому что нет гарантий что получится найти все и восстановить нормальную работоспособность файла.
 
20.12.2023
13
0
BIT
61
такое ощущение что просто сносят зараженный файл, потому что нет гарантий что получится найти все и восстановить нормальную работоспособность файла.
Вот в этом то всё и дело, что Антивирусы не ставят перед собой такую задачу — лечить программу.
Однако Ваш ответ тут показывает на то, что вы кое что понимаете в теме реверсинга программ. И в Ассемблере. В связи с этим спрошу далее:
Что нужно для того. что бы:
1. Понять как заражён файл (вирус размазан или целиком...)?
2. Какое программное обеспечение необходимо, что бы копаться в коде (переход на зараженный участок, найти все части вируса, вернуть точку входа в программу).
3. Какая минимальная информационная база нужна, что бы совладать с такой задачей? (без лишнего академического багажа).
4. Какие форумы стоит задействовать в качестве поиска подсказок от опытных кодо-копателей?
Думаю, для начала вопросов достаточно.
 

B13

Заблокирован
01.01.2020
412
55
BIT
134
Вот в этом то всё и дело, что Антивирусы не ставят перед собой такую задачу — лечить программу.
Однако Ваш ответ тут показывает на то, что вы кое что понимаете в теме реверсинга программ. И в Ассемблере. В связи с этим спрошу далее:
Что нужно для того. что бы:
1. Понять как заражён файл (вирус размазан или целиком...)?
2. Какое программное обеспечение необходимо, что бы копаться в коде (переход на зараженный участок, найти все части вируса, вернуть точку входа в программу).
3. Какая минимальная информационная база нужна, что бы совладать с такой задачей? (без лишнего академического багажа).
4. Какие форумы стоит задействовать в качестве поиска подсказок от опытных кодо-копателей?
Думаю, для начала вопросов достаточно.
даю подсказку. "Reverse engineering для чайников", "Вскрытие покажет. Практический анализ вредоносного ПО", "Malware analysis".

По инструментам, Flare-VM в помощь, на основе Win10.

Форумы, не знаю, а вот харб можно по копать в поисках инфы, так же можно посмотреть в сторону журнала хакер и естественно есть ещё Ютуб + слитые курсы по исследования вирусов.
 
Последнее редактирование:
20.12.2023
13
0
BIT
61
даю подсказку. "Reverse engineering для чайников", "Вскрытие покажет. Практический анализ вредоносного ПО", "Malware analysis".

По инструментам, Flare-VM в помощь, на основе Win10.
О-о! Спасибо! Это уже интересно!

А что скажет

M0r7iF3r ?​

 

B13

Заблокирован
01.01.2020
412
55
BIT
134
О-о! Спасибо! Это уже интересно!

А что скажет

M0r7iF3r ?​

я не знаю, что скажет M0r7iF3r, но без знаний АСМ, языков программирования C/C++ (как минимум), WinAPI, тебе будет очень сложно двигаться в направление анализа вирусов. И знания нужны не просто на базовом уровне.

P.S.

TryHackMe посмотри, там комнаты по анализу вирусов есть.
 
20.12.2023
13
0
BIT
61
без знаний АСМ, языков программирования C/C++ (как минимум), WinAPI.....

P.S.

TryHackMe посмотри, там комнаты по анализу вирусов есть.
128 City Road, Лондон, EC1V 2NX
Переводить страницы в браузере конечно тоже можно. Но может есть какие то русскоязычные ресурсы подобной практики?
Ассемблер в данный момент в процессе ознакомления. С++ это первый язык с которым я познакомился. К сожалению практики весьма мало, но какое то представление имею.
 

B13

Заблокирован
01.01.2020
412
55
BIT
134
128 City Road, Лондон, EC1V 2NX
Переводить страницы в браузере конечно тоже можно. Но может есть какие то русскоязычные ресурсы подобной практики?
Ассемблер в данный момент в процессе ознакомления. С++ это первый язык с которым я познакомился. К сожалению практики весьма мало, но какое то представление имею.
вирусы пишутся в основном, на C/C++/C#, в последнее время ещё и на Go, есть ещё один язык программирования, но я забыл название, после криптуются и/или обфусцируются, так что работы не початый край будет при анализе последнего.

Приведенные мной ресурсы, первые две книги, на русском языке есть, так что поисковик в помощь. Даже при анализе придется очень много искать информации.
 
20.12.2023
13
0
BIT
61
Приведенные мной ресурсы, первые две книги, на русском языке есть, так что поисковик в помощь. Даже при анализе придется очень много искать информации.
Я про этот ресурс спросил: TryHackMe. Он из Лондона вещает. Есть ли что то подобное в русскоязычном сегменте?
А книжки уже нашёл. Спасибо))
 

B13

Заблокирован
01.01.2020
412
55
BIT
134
Я про этот ресурс спросил: TryHackMe. Он из Лондона вещает. Есть ли что то подобное в русскоязычном сегменте?
А книжки уже нашёл. Спасибо))
не встречал. Если только слитые курсы от Otus как базовый пойдет.

А английский все равно придется учить, т.к большинство именитых исследователей из зарубежья.
 

UserName011

Green Team
01.09.2020
129
2
BIT
478
О-о! Спасибо! Это уже интересно!

А что скажет

M0r7iF3r ?​

Я лишь поверхностно знаком с реверсом малвари, на уровне общией идеи, никогда не хватало терпения таким заниматься без крайней необходимости. А так тебе все верно подсказали. Можно глянуть в сторону курсов на этом ресурсе, здесь в академии есть и введение и более глубокий курс. Из книг еще можно добавить Фундаментальные основы хакерства.
По разработке малвари можно глянуть как , так и поискать курс от , все равно без понимания как ее пишут будет не понятно что искать в чужом коде.
Ну а если тебе простым способом надо выделить малварь из бинарника, я бы предложил сделать так, как делают при поиске 1-Day уязвимостей - берется оригинальный файл и измененный и анализируешь в гидре/иде разницу между этими файлами.
 
20.12.2023
13
0
BIT
61
я бы предложил сделать так, как делают при поиске 1-Day уязвимостей - берется оригинальный файл и измененный и анализируешь в гидре/иде разницу между этими файлами.

И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)
Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))
Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?​

 

UserName011

Green Team
01.09.2020
129
2
BIT
478

И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)​

Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))​

Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?​

Ну в общем правильно. Понимать как работают вирусы и реверс-инжиниринг, чтобы понимать как в принципе работают программы.
 
Решение

B13

Заблокирован
01.01.2020
412
55
BIT
134

И тебе спасибо @M0r7iF3r ! (кстати не могу найти кнопку "спасибо" на этом форуме. И лайков нет)
Звёздная карта теперь есть. Осталось проложить курс, а там, как ветер дунет)))
Способ с разницей файлов тоже попробую. А пока вижу такой вектор развития: Что бы уметь выявлять вирусы, надо сначала уметь писать вирусы. Ну или хотя бы видеть как другие пишут)) Я правильно понял?​

ещё как писал, выше придется читать документацию Microsoft по API, потому как пробовать списать вирусы ты будешь на уже так же перечисленных выше языках программирования.

И если пойдешь по пути реверс инженерами, то придется ещё осваивать отладчики и с чем их едят. В общем работы непочатый край.

Из курсов. Codeby "Ведение в реверс инжиниринг".
 

B13

Заблокирован
01.01.2020
412
55
BIT
134
Я лишь поверхностно знаком с реверсом малвари, на уровне общией идеи, никогда не хватало терпения таким заниматься без крайней необходимости. А так тебе все верно подсказали. Можно глянуть в сторону курсов на этом ресурсе, здесь в академии есть и введение и более глубокий курс. Из книг еще можно добавить Фундаментальные основы хакерства.
По разработке малвари можно глянуть как , так и поискать курс от , все равно без понимания как ее пишут будет не понятно что искать в чужом коде.
Ну а если тебе простым способом надо выделить малварь из бинарника, я бы предложил сделать так, как делают при поиске 1-Day уязвимостей - берется оригинальный файл и измененный и анализируешь в гидре/иде разницу между этими файлами.
по поводу книги Фундаментальные основы хакерства, она скорее всего больше подойдёт для крекинга, чем для анализа малвари + имеет отсылку к ещё 2 книги, которые необходимо прочитать до чтения указанной книги.
 

B13

Заблокирован
01.01.2020
412
55
BIT
134
Я так чувствую, придётся ещё по Линуксу читать, а не только по Майкрософт.
на Linux малвари не видел, врать не буду, основная часть пользователей сидит на "окнах", на Linux можно собирать, это удобно, но вот проводить отладку, это будет весело.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!