Здравству, Хакер! ты знаешь проктически все в компьютерных системах? ты знаешь все пароли твоей общаги? У тебя нет друзей кроме компьютера и кота?
Тогда ты пришел по адресу! Здесь мы будем вскрывать вирус, и изучать его вдоль и поперек.
Итак, сестра! скальпель пожалуйста!
но минутку? какой именно скальпель нам подойдет?
действительно, изучить вирус голыми руками как в предыдущих разделах у нас не получится, посему идем за инструментами
Wireshark
Wireshark ведет анализ сетевого трафика. Позволяет увидеть весь трафик, который проходит через сеть!!!
Manual Wireshark
PEiD
PEiD (PE iDentifier) — инструмент для исследования PE файлов, позволяющий узнать компилятор, а следовательно, и язык программирования, использованный при написании программы, упаковщика или криптора.
Поддерживает Drag&Drop (перетаскивание данных), мультисканирование (просмотр содержимого сразу целой папки), а также плагины, плюс имеет несколько встроенных утилит, таких как обозреватель процессов.
Определение упаковщика осуществляется при помощи поиска сигнатуры. Текущая версия может определять 672 различных сигнатуры в PE файлах. Также можно добавить пользовательские сигнатуры. Есть возможность дизассемблирования файла. К недостаткам можно отнести то, что можно обойти алгоритм поиска его сигнатур, и он не найдет нужную сигнатуру.
Process Explorer
Эта прога знает ВСЁ про запущенные приложения!!!
Дизассемблер OllyDbg
Resource Hacker
Resource Hacker (ResHacker, или ResHack) — редактор ресурсов, программа, предназначенная для просмотра, извлечения и замены ресурсов в исполняемых Portable Executable файлах, используемых в 32- и 64-битных версиях операционной системы Microsoft Windows, например, .EXE или .DLL.
С помощью этой программы можно производить поиск и замену иконок, изображений и текстовых строк в исполняемых файлах. Среди дополнительных возможностей программа имеет функции работы из командной строки.
19 ноября 2009 года была выпущена бета версия 3.5.2, в которой была добавлена поддержка 64-битных исполняемых файлов и графических ресурсов в формате .PNG. И она оказалась последней.
оффтоп
весь этот инструментарий был нагло скопипасчен из
Значит так, теперь у нас есть и скальпели, и шприцы, и даже клизмы, но нужен еще и операционный стол!
использовать можно и свой компьютер, но есть верноятность заляпаться кровью, знаете. Так что, чтобы лишний раз не заражать компьютер, установим себе Виртуальную машину. О том как это сделать подробно описано
на виртуальную машину мы устанавливаем весь вышеперечисленный софт.
теперь у нас есть и операционный стол, и инструменты, так-что можно приступать к вскрытию.
как же это делается?
1) в основном все вирусы упакованы, для придания меньшего размера. Чтобы увидеть код бинарника, нужно его распаковать. это можно проделать как и UPX'ом, так и отладчиком OllyDbg (это труднее)
upx скачиваем
Код:
upx -d %Virusname%.exe
итак, распаковали. теперь запускаем peid. здесь мы видим,
это значит, что троянец написан в дельфи.
А если, например, написано
Код:
Not a valid PE file
это значит, что софт написан на асме.
Дальше нужно дизассемблировать код. Дизассемблер — транслятор, преобразующий машинный код, объектный файл или библиотечные модули в текст программы на языке ассемблера.
когда мы это проделали, можем вдоволь изучать код. (правда для этого требуется знания ассемблера).
В статье Onthar'a расписано изучение одной программы. статья
В целом, мы теперь знаем какое действие вирус оказывает на систему.
Но есть так-же и второй метод анализа. Можно просто запустить вирус
но не просто так, при этом нужно включить Process Explorer, Wireshark и прочие программы, которые будут отлавливать действия вируса в "прямом эфире"
таким образом мы тоже изучим вирус, но при этом мы, возможно, угробим виртуалку.
Я думаю с этим мы тоже закончили. переходим к заключительной части статьи:
Тогда ты пришел по адресу! Здесь мы будем вскрывать вирус, и изучать его вдоль и поперек.
Итак, сестра! скальпель пожалуйста!
но минутку? какой именно скальпель нам подойдет?
действительно, изучить вирус голыми руками как в предыдущих разделах у нас не получится, посему идем за инструментами
Wireshark
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
[/URL]Wireshark ведет анализ сетевого трафика. Позволяет увидеть весь трафик, который проходит через сеть!!!
Manual Wireshark
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
PEiD
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
[/URL]PEiD (PE iDentifier) — инструмент для исследования PE файлов, позволяющий узнать компилятор, а следовательно, и язык программирования, использованный при написании программы, упаковщика или криптора.
Поддерживает Drag&Drop (перетаскивание данных), мультисканирование (просмотр содержимого сразу целой папки), а также плагины, плюс имеет несколько встроенных утилит, таких как обозреватель процессов.
Определение упаковщика осуществляется при помощи поиска сигнатуры. Текущая версия может определять 672 различных сигнатуры в PE файлах. Также можно добавить пользовательские сигнатуры. Есть возможность дизассемблирования файла. К недостаткам можно отнести то, что можно обойти алгоритм поиска его сигнатур, и он не найдет нужную сигнатуру.
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Process Explorer
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
[/URL]Эта прога знает ВСЁ про запущенные приложения!!!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Дизассемблер OllyDbg
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
[/URL]Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Resource Hacker
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Resource Hacker (ResHacker, или ResHack) — редактор ресурсов, программа, предназначенная для просмотра, извлечения и замены ресурсов в исполняемых Portable Executable файлах, используемых в 32- и 64-битных версиях операционной системы Microsoft Windows, например, .EXE или .DLL.
С помощью этой программы можно производить поиск и замену иконок, изображений и текстовых строк в исполняемых файлах. Среди дополнительных возможностей программа имеет функции работы из командной строки.
19 ноября 2009 года была выпущена бета версия 3.5.2, в которой была добавлена поддержка 64-битных исполняемых файлов и графических ресурсов в формате .PNG. И она оказалась последней.
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
оффтоп
весь этот инструментарий был нагло скопипасчен из
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
статьи(там есть еще много хороших инструментов) большое спасибо POCT'у за весь этот софтЗначит так, теперь у нас есть и скальпели, и шприцы, и даже клизмы, но нужен еще и операционный стол!
использовать можно и свой компьютер, но есть верноятность заляпаться кровью, знаете. Так что, чтобы лишний раз не заражать компьютер, установим себе Виртуальную машину. О том как это сделать подробно описано
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
на виртуальную машину мы устанавливаем весь вышеперечисленный софт.
теперь у нас есть и операционный стол, и инструменты, так-что можно приступать к вскрытию.
как же это делается?
1) в основном все вирусы упакованы, для придания меньшего размера. Чтобы увидеть код бинарника, нужно его распаковать. это можно проделать как и UPX'ом, так и отладчиком OllyDbg (это труднее)
upx скачиваем
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Код:
upx -d %Virusname%.exe
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
итак, распаковали. теперь запускаем peid. здесь мы видим,
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
это значит, что троянец написан в дельфи.
А если, например, написано
Код:
Not a valid PE file
это значит, что софт написан на асме.
Дальше нужно дизассемблировать код. Дизассемблер — транслятор, преобразующий машинный код, объектный файл или библиотечные модули в текст программы на языке ассемблера.
когда мы это проделали, можем вдоволь изучать код. (правда для этого требуется знания ассемблера).
В статье Onthar'a расписано изучение одной программы. статья
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
В целом, мы теперь знаем какое действие вирус оказывает на систему.
Но есть так-же и второй метод анализа. Можно просто запустить вирус
но не просто так, при этом нужно включить Process Explorer, Wireshark и прочие программы, которые будут отлавливать действия вируса в "прямом эфире"
таким образом мы тоже изучим вирус, но при этом мы, возможно, угробим виртуалку.
Я думаю с этим мы тоже закончили. переходим к заключительной части статьи:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
[/URL]
Последнее редактирование модератором: