Új hozzászólás Aktív témák
-
#63
Neil Watts
veterán
drkbl
#62
-
#62
drkbl
őstag
Neil Watts
#61
drkbl
őstag
válasz
Neil Watts
#61
üzenetére
Híres ember, látom a linkelt oldalról: [link]
-
#61
Neil Watts
veterán
drkbl
#60
-
#58
Neil Watts
veterán
Itt egyértelműen látható, a fgv hívásoknál, hogy .net. Ezt nem is értem, hogy hogy nem vették észre.
Még azt is megkockáztatom, hogy C#-ban írtákFail: ez valami C++ lesz inkább. Na de ezt nem észrevenni, eh
Amúgy meg William Pitcock for president
Üdv. core2
-
#56
dabadab
titán
Mindreader
#55
válasz
Mindreader
#55
üzenetére
En gyorsan megneztem, hogy milyen kodot destruktort general a VS2010, de nem olyat, mint ami a cikkben van, pl a this az ECX-ben van, nem csak a dtornal, hanem ugy altalaban a methodoknal. Ezzel szemben ami duqu kodot latok, ott stacken van a this. Te tudsz ilyen kodot generaltatni a VS-val?
-
#55
Mindreader
tag
boldi0xAE
#43
Mindreader
tag
válasz
boldi0xAE
#43
üzenetére
Tudod lehet hogy neked elég nehéz elhinni, de aki már lassan 12 éve szoftvert fejleszt a beágyazott rendszerektől kezdve az ügyviteli szoftverekig, saját assembler, saját mikrokernel, meg ki tudja még mihez volt szerencsém, az könnyen előfordulhat hogy felismer egy teljesen általános visszafordított vc++ destruktort. Azt nem értem hogy aki hozzáértőnek mondja magát annak ez hogy a francba nem jön le?
-
liksoft
nagyúr
válasz
boldi0xAE
#47
üzenetére
Köszönöm a sok információt, kicsit jobban látok bele így a maiakba. '91 környékén még én is írtam vírusirtót, igaz az csak egyet tudott gyilkolni (inkább magamnak volt egy bizonyítás, hogy meg tudom csinálni, bár volt rá vevő). Nem ez a fő csapásirány, így meghagyom a profiknak. Ez is egy szakma. Egyben azért had gratuláljak! Azért annyit megtanultam, nem olyan egyszerű ez, mint ahogy sokan kívülről látják.
-
boldi0xAE
csendes tag
A felvetésed jogos, és volt is ilyen polimorf jellegű rész a kódban, pl. 3 byte-os nop lea alapon. Ugyanakkor a Kaspersky felvetése nem 10 byte-ról szól, hanem egy nagyobb moduról, és elég egyértelműen nem pár apró byte furaságáról szól, hanem a nagy kód "egésze nem áll össze". Továbbra sem tudom azt mondani, hogy ez a kód valami ultrakülönös lenne, mert nincs elég tapasztalatunk, de talán jobban érthető, hogy nem arról van szó, hogy valami egyszerű alap probléma hátráltatta a munkát, hanem inkább arról, hoy annak ellenére, hogy tudjuk mit csinél a kód nem egyértelmű, hogy miért olyan a struktúrája amilyennek tapasztalták.
-
boldi0xAE
csendes tag
iksoft: Azt érdemes látni, hogy a mai tipikus "vírus" (malware) tiszta kódja nem nagy, és bonyolultsága sem sokkal más mint régen. Vannak ellenpéldák, pl. a Zeus botnet. De ezek már nem otthonik programozók művei szinte ingyen, hanem soksok pénzt tejelnek gazdáiknak. A Stuxnet/Duqu kódja sem azért nagy mert ineffektív. Sajnos azt kell mondani, hogy több tervező nagyon ott volt a szeren és tudta mit csinál. És ez nem egy percbe és nem egy forintba került nekik. Ami érdekesebb, hogy ennek ellenére a csapatuk más tagjai nem voltak olyan profik, lásd Kaspersky jelentés korábbi epizódok a linux hibákról.
Összességében nem lehet semmit elmondani, mert ezek csak tapasztalatok, és mindenki azt szűr le belőle amit akar, de az egész jelenség, és ügy szerintem több mint fontos - ez már történelem...
-
"Az igazán dögös progamozó hexa számológép nélkül megtalálja a 6 megabyteos dumpban a hibát!"
-
boldi0xAE
csendes tag
Két válaszom van:
a.) A részünkről azon mondással, hogy nem értünk hozzá, hogy megítéljük, szerintem nem futottunk lyukra.
b.) A végén belinkelt megjegyzés aggresszív és valójában részletesen nem vizsgál semmit, csak úgy megállapítja, hogy itt mindenki hülye. Ettől még lehet igaza, de érdemes megnézni.
Bónusz:
c.) Így vegyetek biztonsági megoldást mindenki mástól, aki még erre a kérdésre válaszolni sem bír, hogy bizony bizony ez egy triviális kérdés, és ez a válasz. Magyarán, ha ez ilyen egyszerű kérdés, a többi tucat A/V gyártó miért nem szól hozzá hangos marketinggel? (nem mintha hiányozna) Remélem érthető: Ha ez annyira triviális kérdés lenne, akkor nem egyszem ember anyázna, hanem több is. Újfent jelzem, jómagam nem tudom megítélni, hogy mennyiben új vagy fura a kód, de hogy ez nem egy beugró kérdés kezdő programozóknak, abban megegyezhetünk. -
boldi0xAE
csendes tag
"stuxnet rokona ? ezt honnan tudják ?
de ha már itt tartanak, és tényleg az, a stuxnetről jóltudni honnan származik. "
Érdekes, valamiért ezt fordítva látjuk. A kódból és felépítésből látszik, hogy rokona, olvasd el a leírásunk.
A Stuxnetről pedig sajnos még én sem "jóltudom", hogy honnan származik. Tippelni lehet, de nehéz a bizonyítás.
-
#31
ArchElf
addikt
Dr. Romano
#30
ArchElf
addikt
válasz
Dr. Romano
#30
üzenetére
Nem értem, a crysys lesz az új skynet - vagy mivan???
![;]](//cdn.rios.hu/dl/s/v1.gif)
AE
-
#24
Mindreader
tag
Mindreader
tag
Ez egy egyszerű Visual C++-os destructor. Nem is értem hol itt a probléma?
-
ArchElf
addikt
Manapság a vírusoknál nem szempont (legalább is nem pozitív szempont) a hatékonyáság. Egy jól megít és hatékony kód túlságosan terheli a processzort IO-t, így könnyen kiszúrható. Általában a mai malware-ek rejtőzködnek - nem céljuk a közvetlen fertőzés, azt megteszik a terjesztők droppereken keresztül (vagy ugyan a malware csinálja, de lehetőleg úgy ütemezve, hogy a megfigyelőrendszerekben se legyen látványos).
AE
-
liksoft
nagyúr
válasz
boldi0xAE
#13
üzenetére
Szintén csak a "régi szép idők"-et tudom emlegetni. Ma a 2MB nem feltűnő, régen az 1,5kB vírus is "ordított" a mérete miatt. Stimmel, minél jobb, annál bonyolultabb, több tévedési ág (elterelő kód) van benne. Mára a programozók között nagyon leszűkültek azok, akik a gépi kód közelében képesek dolgozni. Legtöbben a magasszintű nyelveken terjedelmesen (van hozzá erőforrás, minek optimalizálni) dolgoznak. Kivétel a játékok futási időre kihegyezett részei. Viszont ők meg nem visszafejtenek. Így a nagy kód és a kevés ütőképes szakember együtt biztosítja a jól megírt vírus hatékonyságát.
-
liksoft
nagyúr
válasz
banhammer
#16
üzenetére
Akkor kellett így programozni, amikor volt egy kész program, és új funkciót kellett beletenni. Például egy BASIC interpreterbe LPT rutint. Vagy a magnó FM technológiáját MFM-re lecserélni, amitől stabilabbá is vált a rögzítés. Illetve spéci Z80-as mérőműszerek programjának a módosítása. Sokszor hiába volt meg a forráskód, ha a bevitel nehézkes volt. Ilyenkor pár byte cseréje könnyebb volt mint 2-4kB-ot hexben újragépelni. Régi szép idők. Ja, és akkor ezerszer is végigfuttattuk (debugoltuk) fejben a kódot, nehogy újra kelljen írni.....
-
ArchElf
addikt
Ezek a malware-ek simán lehetnek polimorfikusak - tehát nem egyértelműen fordul a kód a forrásnyelvről gépi kódra, hanem a gépi kódot fordításkor egy spec compiler - vagy futás közben a kód saját magát - még megkavarja...
Szerintem simán keletkezhetnek ilyen "nem egyértelmű" kódok - sőt antivirus programok ellen egy időben kifejezetten kedvelt volt ez a technológia Más kérdés, hogy ma a sandbox-os időkben már inkább a működés vizsgálat, nem csak kód-mintavétel folyik.AE
-
boldi0xAE
csendes tag
-
boldi0xAE
csendes tag
Nem az a baj, hogy az IDA PRO hülyeségeket ír ki és zagyva opcode-okat jelentet meg. Prímán mutatja a kódot, nincs obfuszkálva vagy valami, egyszerűen csak a struktúra bonyolult - és persze relatíve nagy is. a Payload program olyan 200k, de kitömörítve majd 500. A stuxnetnél kitömörítve közel áll a 2 megához. És nem videó van benne
-
#12
boldi0xAE
csendes tag
gyáliSanyi
#9
boldi0xAE
csendes tag
válasz
gyáliSanyi
#9
üzenetére
Két dologban tévedsz: 1. nem fizetnek milliókat, hisz ki fizetne milliókat egy malware vizsgálatéért, ami pártucat gépet fertőzött.
2. Nem arról van szó, hogy nem lehet megfejteni a működését. Nagyjából megérthető mi történik a kódban a gépi kód ismeretében, de nem lenne baj tudni, hogy miben írták. Mi a francért írna valaki egy ilyen vírust valami elvadult ismeretlen környezetben, ha úgy lenne? Ez mindenképp fura, ugye... -
liksoft
nagyúr
Esetleg meg kéne nézni, ha nem az elejére ugrunk, hanem 1-2 byte-al hátrébb, mi lesz a kód? Esetleg egy belsőbb részen hogyan változik? Anno Z80-ra a kevés tárhely miatt írtunk így gépi kódban, hogy ugyanaz a rutin egy vagy két byte eltolással más értelmes utasítást tartalmazott, így egy rutin két feladatra volt jó. Na ezt visszafejteni, horror tud lenni. De persze lehet egyszerű magyarázata is.
-
#9
gyáliSanyi
őstag
gyáliSanyi
őstag
Valaki/valakik tudtak olyat csinálni, amit a képzett szakértők nem tudnak megfejteni és még milliókat is fizetnek nekik ezért a munkáért.
-
liksoft
nagyúr
Megírod a kis programodat, mely kiírja a képernyőre, hogy "Szia, itt vagyok!".
Ezt hogyan tudja megtenni? Úgy, hogy az OS-t utasítja a processzor által értelmezhető utasításokkal (gépi kód - assembler), hogy írjon a képernyőre.
Amikor viszont Te írod a programot, az Pascal, BASIC, C++, esetleg valami más lesz. A program fordítója a Pascal,... egyéb utasításait fordítja át assembler-re, hogy a processzor végre tudja hajtani. Mint egy irodalmi mű fordításakor is, a különböző programozási nyelvek más és más assembly kódot készítenek. A végeredmény ugyanaz, de a végrehajtás különbözik. Pont úgy, mint mikor a medencét átúszod, de egyszer mellben, egyszer gyorsban, stb.. Átjutsz a túloldalra (ez a lényeg), de máshogyan.
A visszafejtéskor segítség, ha tudjuk mivel készült, mert egy-egy utasítás csoport egy-egy Pascal/egyéb utasításra visszaforgathatóak, és minél olvashatóbb, tömörebb a program, annál értelmezhetőbb. Vagyis assembly-t visszafejteni csak a mazoisták szeretnek.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Elfelejtettem a film címét
- Digitális Állampolgárság Program DÁP
- Gumi és felni topik
- Egy óra, két rendszer
- Milyen okostelefont vegyek?
- Linux felhasználók OFF topikja
- Így lesz tégla a porszívódból - a Roidmi csődje
- Kormányok / autós szimulátorok topikja
- Építő/felújító topik
- További aktív témák...
- Magic Trackpad legújabb fajta, lightning csatlakozóval
- NYÁRI BOMBA AKCIÓK! PSN, STEAM, UBISOFT CONNECT, EA APP, XBOX EREDETI KULCSOK 100% GARANCIA
- Telefon felvásárlás!! iPhone 16/iPhone 16 Plus/iPhone 16 Pro/iPhone 16 Pro Max
- HUAWEI MateBook 13 2020 - Kijelző nélkül - I7-10510U - 16GB - 512GB SSD - Win11 - MAGYAR
- BESZÁMÍTÁS! MSI B550M R7 5700X 32GB DDR4 1TB SSD RTX 4070 12GB NZXT H710I Be Quiet 650W
Állásajánlatok
Cég: FOTC
Város: Budapest