Статья Вирусы под микроскопом. Собираем утилиты для анализа малвари

Дисклеймер: вся информация в статье предназначена для ознакомления. Автор не несет ответственности за ваши действия.

Введение
В последнее время ты слышишь про огромное количество взломов крупных компаний с использованием вредоносного ПО. В инструментарий для атак входят шифровальщики, программы-вымогатели. Поэтому специалистам по информационной безопасности не редко приходится прибегать к множеству утилит для реверса. Чтобы облегчить такую тяжелую ношу я собрал для тебя целый список программ, которые помогут тебе в реверс-инженерии. Давай перейдем к делу.

План работы
Для начала я составил план, по которому будет построена статья. Так ты сможешь определиться с тем, какой софт уже знаешь, а с каким еще предстоит познакомиться.

1. Статический анализ:
   1. Detect It Easy
   2. de4dot
   3. Dependency Walker
   4. ExeinfoPe
   5. ExtremeDumper
   6. FileAlyzer
   7. Import REConstructor
   8. PEStudio
   9. PEview
   10. Resource Hacker
2. Динамический анализ:
   1. dnSpy
   2. Explorer Suite
   3. OllyDbg
   4. Process Explorer
   5. Procmon
   6. ProFiler
   7. Regshot
   8. TCPView
   9. x64dbg
   10. Wireshark

Все программы тестировались неоднократно и проявили себя в бою. Какие-то покажутся старыми, а другие будут актуальными даже сегодня.

Статический анализ​

Такой тип анализа подразумевает исследование PE файла избегая его запуск. То есть, ты можешь узнать информацию о файле не рискуя заразить свою систему. Анализ позволит определить шифровался ли файл или нет, какие библиотеки в нем зашифрованы и на каком языке написана программа.

Detect It Easy​

• Платформа: Любая
• Версия: 3.04

Detect It Easy (сокращенно DIE) - одна из самых популярных программ для определения типов файлов. Есть огромный арсенал, который включает в себя определение компилятора, языка программирования, библиотек. Также можно узнать сигнатуру нужного файла и посмотреть таблицу импорта/экспорта. Утилита содержит гибридное строение и поэтому можно добавить свои алгоритмы обнаружения или сигнатуры.

Существует три версии утилиты: базовая, облегченная и консольная. Это делает программу многофункциональной и крайне удобной для использования. DIE способен определить такие типы файлов как: MS-DOS, PE Windows, ELF Linux, MACH Mac OS.

Таким образом DIE становиться незаменимым помощником, который первый вступает в работу и анализирует файл детальнее всего. Он дает базовую информацию и позволяет сделать план дальнейших действий.

Исходный код программы: GitHub

de4dot​

• Платформа: Любая
• Версия: 3.1.4592

de4dot - популярная утилита для пробития защиты NET Reactor. Она до сих пор остается в раннем доступе и разработчики активно модернизируют ее. Также, код этой программы есть в открытом доступе, что позволяет тебе самим модифицировать программу. Написана она на C# и ее основная задача сделать все возможное, чтобы восстановить упакованную и запутанную сборку почти до исходного формата. Работает со всеми файлами, которые основаны на NET.

В надежных руках такая маленькая, консольная программа превращается в потрошителя PE-файлов и защиты .NET-приложений.

Исходный код программы: GitHub

Dependency Walker​

• Платформа: Windows
• Версия: 2.2.6000

Dependency Walker - предназначен для работы с таблицами импорта и экспорта. Всю информацию представляет в виде иерархического дерева, что для многих очень удобно в работе. Для каждого найденного модуля в нем перечислены все функции, которые экспортируются этим модулем, и какие из этих функций на самом деле вызываются другими модулями. Также он помогает исправлять ошибки в PE-файлах, которые связаны с загрузкой и выполнением модулей.

В работе утилита будет полезна в том случаи, если другие программы не смогли справиться с таблицами файла. Как ты уже понял по интерфейсу программа старая и работает со времен поддержки Windows 7.

Домашняя страница автора:

Ссылка скрыта от гостей

Exeinfo PE​

• Платформа: Windows
• Версия: 0.0.6.3

Exrinfo PE - бесплатная утилита, которая позволяет просматривать детальную информацию о файле. Аналог любимого DiE. Поможет узнать, чем защищён и упакован файл, а также установит компилятор. Есть дополнительные функции в виде риппера файла и корректировщика PE и AT4RE.

Ты можешь использовать такую программу как замену Detect It Easy. Хоть утилита ограничена в функционале и не такая комфортная как другие ее можно использовать на постоянной основе.

Домашняя страница автора:

Ссылка скрыта от гостей

ExtremeDumper​

• Платформа: Windows
• Версия: 4.0.0.1

ExtremeDumper - это компактный дампер .NET приложений. Предоставляет список программ с .NET-модулями. Также позволяет внедрять определенные сборки. Процесс, содержащий рабочий стол clr или coreclr, будет помечен зеленым.

Такая утилита позволит тебе анализировать и расшифровывать библиотеки, которые базируются на .NET.

Исходный код программы: GitHub

FileAlyzer​

• Платформа: Windows
• Версия: 1.6.0.4

FileAlyzer - программа для просмотра и анализа структуры содержимого файлов. Помогает провести простой анализ файлов и интерпретировать общее содержимое файлов вроде ресурсов (текста, графики и т.д). Пользоваться такой утилитой проще простого. По интерфейсу она напоминает свойства файла, но с расширенным функционалом. Таблицы импорта/экспорта, дамп и ресурсы файла.

Также утилита имеет анализ папок, который сделает твою работу гораздо проще и полезнее. Поэтому ты сможешь узнать самую простую и доступную информацию из файла.

Официальный сайт автора:

Ссылка скрыта от гостей

Import REConstructor​

• Платформа: Windows
• Версия: 1.6

Import REConstructor - программа позволяет восстанавливать зашифрованную таблицу импорта. Он реконструирует новый дескриптор импорта изображения (IID), таблицу массива импорта (IAT) и все имена модулей и функций ASCII. Также есть функция внедрения в исполняемый файл загрузчика.

Утилита не предназначена для новичков и поэтому перед использованием тебе стоит ознакомиться с ручной распаковкой PE-файлов. В дополнении может вести лог для дальнейшей работы.

Официальный сайт автора:

Ссылка скрыта от гостей

PEStudio​

• Платформа: Любая
• Версия: 9.20

PEStudio - небольшая утилита цель которой искать артефакты в исполняемых файлах. Она ускоряет и упрощает начальную оценку цели для дальнейшей работы. Этот инструмент используется группами реагирования на компьютерные чрезвычайные ситуации (CERT), центрами обеспечения безопасности (SOC) и лабораториями цифровой криминалистики по всему миру.

Такая программа поможет тебе быстро реагировать на подозрительную активность файла, а также сможет выдать информацию касательно модулей и других объектов.

Официальный сайт автора:

Ссылка скрыта от гостей

PEview​

• Платформа: Windows
• Версия: 0.9.9

PEview - компактная утилита, которая обеспечит тебе быстрый и простой способ просмотра структуры и содержимого 32-битных файлов. Он отображает заголовок, раздел, каталог, таблицу импорта и экспорта. Также дает дополнительно информацию о ресурсах в EXE, DLL, OBJ и других типах файлов.

Программа находится на стадии разработки и идет к продвижению 64-битных файлов. Это делается с целью завершения утилиты до конечной версии 1.0. Но в работе с файлами утилита сможет стать решающей и поэтому недооценивать ее способности не стоит.

Официальный сайт автора:

Ссылка скрыта от гостей

Resource Hacker​

• Платформа: Любая
• Версия: 5.1.8

Resource Hacker - популярная во всем мире программа для извлечения, редактирования и просмотра ресурсов PE-файлов. Имеет два режима работы. В консоли и с использованием пользовательского интерфейса. Последние известные изменения программы датируются 20 ноябрем 2020 года.

Для работы такая утилита редко пригодиться, но все же для мелких задач она будет очень полезна.

Официальный сайт автора:

Ссылка скрыта от гостей

На этом статический анализ завершается. Все программы ты сможешь скачать по ссылки, которая находится в конце статьи. Поэтому дальше я расскажу про программы динамического анализа.

Динамический анализ​

Здесь в отличие от статического анализа все гораздо сложнее ведь программы придется запускать и анализировать их в реальном времени. Следить за каждым действием и отслеживать
любую передаваемую информацию.

dnSpy​

• Платформа: Любая
• Версия: 6.1.8

dnSpy - один из знаменитых утилит для отладки и редактирования сборок .NET. Он включает в себя декомпилятор, отладчик и редактор сборки. Предоставляет доступ к легкому чтению файлов без сбоек и других ошибок, которые часто мешают работе. К счастью имеет русскую локализацию и очень понятный интерфейс. Написана полностью на C#.

dnSpy незаменимая утилита в динамическом анализе. Одна из самых мощных утилит в своем деле всегда поможет в реверсе сложных программ. Поэтому для тебя эта вещь может быть одной из самых ценных.

Исходный код программы: Github

Explorer Suite​

• Платформа: Windows
• Версия: 3.0.0

Explorer Suite - набор инструментов, включающий редактор PE под названием CFF Explorer (на скриншоте выше) и средство просмотра процессов. Полностью поддерживает 32-битную и 64-битную систему. Описание и модификация специальных полей (поддерживается .NET), утилиты, перестройщик, шестнадцатеричный редактор, сумматор импорта, сканер подписей, менеджер подписей, поддержка расширений, сценарии, дизассемблер, обходчик зависимостей и т. д это все входит в набор.

Полный анализ набор не заменит, но сможет найти зацепки, которые не заметит другой софт.

Официальный сайт автора:

Ссылка скрыта от гостей

OllyDbg​

• Платформа: Windows
• Версия: 2.1.0.4

OllyDbg - бесплатный 32-битный отладчик файлов до уровня ассемблера. Анализирует и модифицирует откомпилированные файлы, библиотеки. Есть дополнительные плагины для расширения функционала. Отладчик работает на 3 уровне защитного кольца.

Если ты начинающий реверсер, то такой софт тебе сильно облегчит жизнь и станет спутников в первоначальной работе. С ним ты сможешь декомпилировать самые простые вирусы и программы.

Официальный сайт автора:

Ссылка скрыта от гостей

Process Explorer​

• Платформа: Windows
• Версия: 16.43

Process Explorer - одна из немногих утилит способная узнавать как файл взаимодействует с другими процессами. Какие DLL файлы открывает и что загружает на твой компьютер. Уникальные возможности Process Explorer делают его полезным для отслеживания проблем с версиями DLL или устранения утечек, а также дают представление о том, как работают Windows и приложения.

Такая утилита поможет тебе отслеживать любые действия программы в реальном времени. Так ты сможешь узнать поведение и работу определенных модулей и библиотек.

Официальный сайт автора:

Ссылка скрыта от гостей

Procmon​

• Платформа: Windows
• Версия: 3.91

Process Monitor (сокращенно Procmon) - это аналог предыдущей утилиты с другим набором функций. Показывает действия файлов в системе в реальном времени. Включает мощные возможности мониторинга и фильтрации. К примеру запись стеков потоков для каждой операции или надежная запись сведений о процессе, а также ведение журнала времени загрузки для всех операций.

Если тебе не понравился по дизайну или функционалу Process Explorer, то Procmon исправит ситуацию и сможет справиться с требуемой тебе задачей.

Официальный сайт автора:

Ссылка скрыта от гостей

ProFiler​

• Платформа: Windows
• Версия: 2.6.2

Cerbero Profiler - условно-бесплатная программа для криминалистического анализа вредоносного ПО. В своем роде это мультитул. Работает с огромным количеством форматов файлов для которых требуется выполнить анализ. Также он способен проверить внутреннюю структуру файла. Способен находить уязвимости в ПО и имеет другие полезные функции.

Незаменимая вещь в работе любого реверсера. Поэтому пропустить этот софт мимо будет грехом. Требует базовые знания в реверс инженерии и не подходит для начинающих пользователей.

Официальный сайт автора:

Ссылка скрыта от гостей

Regshot​

• Платформа: Windows
• Версия: 1.9.0

Regshot - небольшая, бесплатная программа с открытым исходным кодом. Позволяет создавать и сравнивать снимки реестра для дальнейшего анализа. Позволяет сохранять изменения в TXT или HTML формате для удобного использования.

Как ты знаешь любой вирус, чтобы закрепиться в системе начнет прописывать себя в реестр Windows, чтобы запускаться вместе с твоей системой. Именно поэтому такая утилита станет незаменимой в такой ситуации.

Исходный код программы:

Ссылка скрыта от гостей

TCPView​

• Платформа: Windows
• Версия: 4.17

TCPView - бесплатная программа для просмотра начальных и конечных точек передачи файлов по протоколу TCP и UPD. Здесь можно посмотреть локальный адрес, статус и время. Есть консольная версия приложения Tcpvcon. Утилита разработана компанией Sysinternals и не требует установки, что делает ее удобнее по сравнению с аналогами.

В работе утилита играет важную роль, ведь знать куда и как передает файл информацию бывает очень полезно, особенно в работе с вирусами удаленного доступа, которые в режиме реального времени обмениваются информацией с другим устройством. Из плюсов ее перемещения в виртуальную среду не занимает много времени.

Официальный сайт автора:

Ссылка скрыта от гостей

x64dbg​

• Платформа: Windows
• Версия: 0.0.2.5

x64dbg - популярный отладчик для работы с 32 и 64-битными файлами. Полностью открытый исходный код делает программу доступной для модификации. Основная задача это пошаговое выполнение кода. Весь процесс ты можешь визуализировать в график, а также просматривать карту распределения памяти.

Такая утилита становиться основным инструментов в динамическом анализе программ, поэтому такой софт поможет тебе качественно декомпилировать и анализировать код. Конечно, без предварительного анализа поведения малвари запускать код не стоит.

Официальный сайт автора:

Ссылка скрыта от гостей

Wireshark​

• Платформа: Любая
• Версия: 3.7.1

Wireshark - программа для анализа сетевого трафика. Позволяет перехватывать и модифицировать пакеты данных, проходящие через твой компьютер. Имеет пользовательский интерфейс написанный на Qt. Первоначальное название продукта было Ethereal. Последние обновление было 27 июня 2020 года.

Для перехвата и анализа информации такая программа станет незаменимой и поможет тебе узнать, что и куда программа передает при работе. Из минусов Wireshark требует установки.

Официальный сайт автора:

Ссылка скрыта от гостей

Подводим итоги​

В этой статье я коротко описал топ-20 утилит для реверса программ и надеюсь, что это поможет тебе в дальнейшем декомпилировании и анализе вредоносных программ. Многие из описанных мною продуктов требуют от пользователя базовых знаний в этой сфере для полноценной работы. Также хочу отметить, что список всех программ может быть продолжен, так как я описал лишь ту часть, с которой работаю лично я.

 

[Ondrik8]

Ссылка скрыта от гостей

) Браток....
и сразу все видно что и как происходит)) минуя де-обфускацию и прочий геморой..

Ссылка скрыта от гостей

 

[Mark Klintov]

AnyRun ) Браток....
и сразу все видно что и как происходит)) минуя де-обфускацию и прочий геморой..

Никогда не слышал про подобного рода сайты. Максимум virus total использовал и то не во всех случаях. Но за информацию спасибо, на будущее учту, что это может сильно упростить задачу)

 

[SearcherSlava]

Братья, сестры, здравы будьте!

Про защиту от клопов не забудьте!

Вирус под микроскопом
Микроскоп под вирусом
Юзер а ты пользуешься
Антивирусом?

Антивирус это вирус
Это вирус во плоти
Юзер ведь на ноут ставит
Безопасность обрести

AnVir TM как Айболит
Если вирус где сидит
Он за ним незримо бдит
И немедля излечит

Вирус хочет ведь знать
Что и как происходит
Проникает опять
Если плохо кто кодит

Минуя обфускацию
И прочий геморрой
Софт обнаружил вирусы
Куку проснись и пой

Здравствуй вирус
Здравствуй и за всё прости
Не напрасно наши разошлись пути
Что же делать если в жизни не везёт
Кто асм познавал тот счастье найдет

Потери как приобретения
Приобретения как потери
Верующим в оттуда работающих
Открываются новые двери
Каждому будет по вере
Каждому будет по мере
Сил и возможностей
Уровней сложности
Нет невозможности
В предрасположенности
Жизненного пути
Как говорится
Своё бы донести

Иже еси на небеси
Своё по жизни донеси
У интернета знаний попроси
У слова ты прощенья попроси
А сам по жизни много не проси
Оттуда кто работает спроси
Ответ в вопросе только вопроси
Бери немного знай лишь меру и неси

Преступник и жертва
Кто же они
Где коротают досуг эти дни
Вопросы ответы у них ведь одни
Захочешь знать больше
На личность взгляни
Поэтому время ты не тяни
Оно скоротечно
Проходят ведь дни
Поглубже поэтому ты загляни
Другими глазами на мир весь взгляни

Личность как сборка
Всех поколений
Ответы в вопросах
Как сущность явлений

Фундаментальное фундаментально
Всегда было есть и будут актуально
Пишется всё это не специально
В периоды между грустно и печально
Не претендую на профессионально
Чисто для самого себя номинально
Чтобы было что вспомнить буквально
Всё-таки аномальное не аномально
Познание мира в себе есть нормально

Деньги ради денег
Но души там нет
Интересно творчество
Выходим в интернет

Майя говорили
Ты как другой я
Познавшим Си
С ассемблером
Благодарен я

Осень наступила
Поехал чердачок
Хакеры на Виндовс
Линуксу зачет

Крошка хакер
В сеть зашел
И сказала кроха
Виндовс это хорошо
Линукс тож неплохо
И от дел он отошел
Где же ждать подвоха
Асм знать это хорошо
Си знать тож неплохо
Хакеры как дети
Ищут в сети лоха
В интернете хорошо
А без лоха плохо

Позже чуть дополню
Было бы что чем
Не могу похвастаться
Знанием систем
Главное ответить
И себе и всем
На вопрос насущный
На вопрос зачем

Работают оттуда
Знания дают
В процессе усвоения
Дни за днем идут
Линией всей жизни
Проложи маршрут
Работают оттуда
Знания дают
Если многознание
Тяжко туфли жмут
Кушай понемногу
Знания придут
Если от незнания
Тяжко туфли жмут
Ты в IT сообщество
Проложи маршрут
Самообразовывайся
Будешь очень крут
Правильный по жизни
Выбери маршрут

Чудил я много лет назад
Не понимал проблемы
И каждый выход в интернет
Как выход из системы

Если очень плохо – хорошо
Вот к какому знанию пришел
Через очень плохо к хорошо
Вот к какому знанию пришел
Сам не понимаю до чего дошел
Когда очень плохо это хорошо

Хочешь обновления
Поезжай в Тибет
Делаешь зарядку
Бегаешь чуть свет
Если ждешь ты чуда
А его все нет
Изучай ассемблер
Поезжай в Тибет
Хочешь стать ты хакером
Знания все нет
Изучай ассемблер
Поезжай в Тибет
Если в гугл вышел
В сети интернет
Вот ты и в Тибете
Ладно всем привет

Мира ведь познание
Есть большое знание
Что поехали в Тибет
Если вышел в интернет

Исследователь жизни
На форуме на этом
Сидит и пишет буковки
А может он с приветом
С большим таким приветом
На форуме на этом
Исследователь жизни
С вопросом и ответом
С вопросом и ответом
Он к вам ведь обращается
Оттуда кто работает
Он с вами не прощается
Он с вами не прощается
Он к вам ведь обращается
Когда и что случается
Случайностей ведь нет
Ведь их и не бывает
Ведь это каждый знает
В себе он мир познает
Лишь выйдя в интернет

В поиске познания
В интернет зашел
Быстро переходит
Плохое в хорошо

Ведь работать и не нужно
Нужно просто жить
IT сферой заниматься
С головой дружить
При таком раскладе можно
Знаний поднажить
Виндовс с Линукс удивляться
Байт в стек положить

Иногда пишу я
Как к себе домой
Вот что происходит
На Винде святой
Тихо вопрошу я
Где же путь он мой
И веду беседу
Тихо сам с собой
Тихо сам с собою
Или кто помог
В IT погрузиться
С головы до ног
Кто же помогает
Вопрошаю я
Этого не знает
Голова моя
Голова не знает
И не надо знать
Если много знаешь
Плохо будешь спать
Если плохо спиться
Страшного тут нет
Боженька приснится
Вот и весь ответ

В подсознание погружение
Есть самовыражение
Неосознанное изображение
Внутреннего мира отображение

Для тех кто понимает
Как устроен земной шар
Far manager придуман
Дан юзеру как дар

Хакер с большим интересом
По интернету идет
Там он на сайты заходит
В копилочку знания кладет
Сильный по жизни он кодер
И подчищает он лог
На разные мысли наводит
Его излагающий слог

Незримые помощники
Высшие неизвестные
По жизни нам дают
Сюжеты интересные
Которые порой
Мы и не замечаем
Нам знаки подают
А мы не отвечаем
Внимания на них
Совсем не обращаем
Когда уж прилетит
Тогда и получаем
В обратку от того
Что сами излучаем
С лучиною идем
Как слышим так и пишем
Проблемы от того
Создателя не слышим
Создателя услышь
Внимайте досконально
Ведь знаки подают
Всем индивидуально

Захожу я в стек
А там байт лежит
Каждым битом байт
Этот дорожит
Знание сие
Многое дает
Один потерял
Другой не найдет

Знание же Виндовс
Не прошло и дня
Подкрепи на практике
Знанием Линя
Если полинял ты
Не переживай
Виндовс полинявший
Даст нам каравай

Если хакер не подсуетился
У него конфуз получился
Может быть VPN отвалился
В интернете IP засветился

Holy driver
You've been down too long
In the midnight asm
Oh, what's becoming of me?
Holy driver
You can see his byte's but
You know he's clean
Oh, don't you see what I mean?

Byte by byte
In your heart alone
Lies a feeling
That you've never known
Hidden by all the asm
That's there inside of you
And yet this Windows still shines thru

One byte one second
One hack one hacking
One asm one second
One byte one cracking

If you´re mad man in the head man we make you forget
And if you´re dead then in the head man we´re gonna make you glad
We control have supervision of all you can hear read and see
Radio papers television show you how to think and be
Highschool churchhouse supermarket kindergarten factory
Teach you how to be a puppet influence you constantly
And we promise you that we will catch your soul
Cause we wanna give you total mindcontrol
If you´re mad man...
Don´t get out of order and keep quiet in the crowd
Stay inside your borders and never dare to doubt
The future is in our hands if you have confidence
Mankind will come to an end we´ll keep you safe
Gonna keep you safe within your grave
If you´re mad man..

Человеку вне системы рады ведь не все
Никого не слушает не идет по полосе
Пишет иногда крамолу с ноткой в голосе
Или очень здраво мыслит иль не дома все

 

[Mark Klintov]

Братья, сестры, здравы будьте!

Про защиту от клопов не забудьте!

Вирус под микроскопом
Микроскоп под вирусом
Юзер а ты пользуешься
Антивирусом?

Антивирус это вирус
Это вирус во плоти
Юзер ведь на ноут ставит
Безопасность обрести

AnVir TM как Айболит
Если вирус где сидит
Он за ним незримо бдит
И немедля излечит

Чуть позже дополню...

Вот про что я забыл напомнить, так это использование антивируса. И не стоит забывать про виртуальную для тестов. Хотя на счет антивируса у меня его уже давно нет, все вирусы руками вылавливаю

 

[SearcherSlava]

Братья и сестры, здравы будьте!

Проверяться на вирусы не забудьте.

Список источников, в который вошли статьи и книги Криса Касперски, издания по ассемблеру и дизассемблированию, публикации и диссертации по компьютерно-технической экспертизе, отладке, обфускации и деобфускации, декомпилляции и смежным областям. Получилось 1180 файлов общим весом 10 гигов, ссылки на 30 дней, все читабельно и чисто.

Пару строк об одном из авторов:

Философ с большой Буквы
Хороший человек
Крис прожил замечательно
Весь свой айтишный век
Он многим дал дорогу
Он многим дал пройти
Как изучить ассемблер
По этому пути
Статьями и рассказами
Он многих вдохновлял
В них опыт эрудицию
Он часто проявлял
Работали оттуда
Чтобы ему помочь
Осилить чтоб незнание
Себя чтоб превозмочь
Глобальное познание
Он хакер сисадмин
И в мире есть признание
У Бога он админ

Ondrik был немногословен
Чем сей фактор обусловлен
Ondrik лукаса поставил
Призадуматься заставил

Знать архив был интересен
И для чтения полезен
Век живи учись весь век
Будешь мудрый человек

Faust к Кодебай зашел
И архив он там нашел
Про ассемблер там чуть чуть
Почитать ты не забудь

Юзер к Кодебай зашел
И архив он там нашел
Про ассемблер и про Си
В мир познания неси

Если знания несешь
Значит сам себя спасешь
Ты оттуда попроси
Знания про асм и Си

Самоспасение в Айти
Не проехать не пройти
Нам с ним даже по пути
Осталось выйти и пойти

До того как ты знал сам себя
О тебе всё прекрасно знали
Перешел ты из жизни в жизнь
Развиваться возможность дали

Как-то юзер не дэбил
Взял Линя установил
А до этого с Виндою
Много лет он говорил

I see faces
Faces in Codeby
On the my Windows
User places
Install firewall
Linux don’t traces

Тыц

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[Faust_1st]

Братья и сестры, здравы будьте!

Проверяться на вирусы не забудьте.

Список источников, в который вошли статьи Криса Касперски, издания по ассемблеру и дизассемблированию, публикации и диссертации по компьютерно-технической экспертизе, отладке, обфускации и деобфускации, декомпилляции и смежным областям.
На сегодня получилось 1180 файлов общим весом 10 гигов. выложу в 3 ссылках на файлообменннике, все читабельно и чисто.
Пару строк об одном из авторов:

Философ с большой Буквы
Хороший человек
Крис прожил замечательно
Весь свой айтишный век
Он многим дал дорогу
Он многим дал пройти
Как изучить ассемблер
По этому пути
Статьями и рассказами
Он многих вдохновлял
В них опыт эрудицию
Он часто проявлял
Работали оттуда
Чтобы ему помочь
Осилить чтоб незнание
Себя чтоб превозмочь
Глобальное познание
Он хакер сисадмин
И в мире есть признание
У Бога он админ

Нифига себе сборник

 

[Mark Klintov]

Список источников, в который вошли статьи и книги Криса Касперски

Статьи Криса можно поискать в

Ссылка скрыта от гостей

, также стоит добавить выпуск «

Ссылка скрыта от гостей

». Для реверсера самое то)

 

[CaptainMorgan]

От себя добавлю ещё онлайн песочниц

analyze.intezer.com
hybrid-analysis.com
joesandbox.com
tria.ge

А также PE-bear

GitHub - hasherezade/pe-bear-releases: PE-bear (builds only)

PE-bear (builds only). Contribute to hasherezade/pe-bear-releases development by creating an account on GitHub.

github.com

и Adlice PEViewer

Ссылка скрыта от гостей

 

[Ondrik8]

От себя добавлю ещё онлайн песочниц

analyze.intezer.com
hybrid-analysis.com
joesandbox.com
tria.ge

А также PE-bear

Посмотреть вложение 64210

GitHub - hasherezade/pe-bear-releases: PE-bear (builds only)

PE-bear (builds only). Contribute to hasherezade/pe-bear-releases development by creating an account on GitHub.

github.com

и Adlice PEViewer

Посмотреть вложение 64212

Ссылка скрыта от гостей

GitHub - mentebinaria/retoolkit: Reverse Engineer's Toolkit <<< --- думаю вопрос касаемо софта исчерпан))

 

[SearcherSlava]

GitHub - mentebinaria/retoolkit: Reverse Engineer's Toolkit <<< --- думаю вопрос касаемо софта исчерпан))

Здрав будь!

Утилита! Утилита!
А ведь дверь ещё закрыта
Запускаем под Линём
К байту байт и ключ найдём

Гидра в тёмные байты
По стеку неспешно идёт
Асм хорошо она знает
И двери там все отопрёт
Реверсу много учился
Чтобы всё это познать
Байтовый сдвиг получился
Хакером чтобы подстать
Хакеру практика может
Сама во многом помочь
Чтобы во всём разбираться
Чтобы себя превозмочь
Хакеры смотрят особо
На этот изменчивый мир
Утром попьют простоквашу
А к ужину любят кефир
Самый особенный хакер
Даже выходит в эфир
Утром он пьёт простоквашу
И смотрит особо на мир

 

[Ondrik8]

Здрав будь!

Утилита! Утилита!
А ведь дверь ещё закрыта
Запускаем под Линём
К байту байт и ключ найдём

Гидра в тёмные байты
По стеку неспешно идет
Асм хорошо она знает
И двери там все отопрёт
Реверсу много учился
Чтобы всё это познать
Байтовый сдвиг получился
Хакером чтобы подстать
Хакеру практика может
Сама во многом помочь
Чтобы во всём разбираться
Чтобы себя превозмочь
Хакеры смотрят особо
На этот изменчивый мир
Утром попьют простоквашу
А к ужину любят кефир
Самый особенный хакер
Даже выходит в эфир
Утром он пьет простоквашу
И смотрит особо на мир

кто ваш диллер? дайте контакт я тоже так хочу)!

 

[SearcherSlava]

кто ваш диллер? дайте контакт я тоже так хочу)!

В произведении говорится о софте для реверс инжиниринга, не более того, а если хочешь научиться так писать, открывай Ворд, набирай буковки, складывай их в слова по смыслу, это сродни сборки кубика рубика, пятнашек или пазлов, если текст на английском, пробуй представить строку { массив данных } в виде лимерика, очень развивает воображение, вот такие, брат, соображения.

Смотрит Бог в твоё окно
Посмотри может Виндовс оно
Что в программах установлено
Для пользования приготовлено

Циркумфлекс и Буль
Единица нуль
Стек из программуль
Всё нормуль

Добрый вечер виртуоз
Любишь Линукс ты до слёз
Ну а Виндовс невсерьёз
В айти шаришь не вопрос
Что хорошего покажешь
Что хорошего расскажешь
Где был байт и полубайт
Стек и куча всё есть байт
Изучал ли ты чего
Изучал ли ты кого
Мож чего то не хватает
Байта в стеке одного
Ну а это мы поправим
Байт на стек опять добавим
Память выделим немножко
И посмотри мы в окошко
Сколько сделал добрых дел
И имеется ль предел
Не остаться б не у дел
Вот такой вот разговор
Здесь на буковки простор
Может кто и почитает
Сумасшедшим посчитает
Значит так тому и быть
Пойду с булочкой чай пить
Что по чём хоккей с мячом
Разговор ведь не о чём

Смотри как в стеке исследует смело
Байты хакер знает он своё дело
Это ассемблер
Ассемблер и хакер
Байты и сюрреализм
Ассемблер и хакер
Виндовс
Ассемблер и хакер
Побайтно исследует низ
Линукс
Будет когда нибудь завтра

Ёжик в тумане ассемблер учил
Ёжик в тумане инсайт получил
Что в жизни бывает лишь самопроёб
Что предпринять избежать его чтоб
Может получше асемблер учить
Может покруче инсайт получить
Может получше исследовать байты
Чтоб приходили такие инсайты
Ведь байт состоит с единиц и нолей
Вам это покажет каждый дисплей
На нём к байту байт и у файла права
И хидер там есть к голове голова
Имеется куча и стек и дрова
И Линукс он знает ходит молва
И Виндовс всегда у него как снова
Так что же нам делать с таким мудрецом
Быть может назначить его Линукс Отцом
В Винду записать старшим дядей
Что делать наш ёжик семь пядей
Что делать наш ёжик себя перерос
Что делать наш ёжик до крутого дорос
Что делать по жизни вот главный вопрос
Ответил бы кто на это запрос

 

[Удалённый пользователь 250334]

Отличная статья, много полезных инструментов. С Extreme dumper пришлось повозиться, но заработало

 

[Andrei_0x7eff0]

Для новичков - это не нужно перечислять, всех не перечислить, нет смысла, нужно обьяснять каждую прогу как сней рабоать. А профи и так все знают. Тоже нет смысла перечислять. Из этого выбора не значит что всем нужно именно с ними рабоать. А то вдруг они только на Маках или Linux'ax.