Собственно хочу спросить у тех людей, которые занимаются исследованием вирусов...

1. Какой софт следит за изменением Windows`а в целом(фалы, реестр, etc...)?
2. Через какую виртуалку лучше тестировать?
3. Какая сборка для тестирования лучше(офф или не офф)?

Буду благодарен за ответы.
Спасибо.

уверен что раделом не ошибся???

с первым оутпост 2009 неплохо справляется..
2. vmw помоему не нуждается в комм.
3. скорее офф...


пс. - ИМХО!!!

хоть я вирусы и не исследую... для того чтоб посмотреть за изменениями: process explorer, process monitor, regshot

всякоразные мониторы, vmware, ida pro, wireshark и тд и тп......

http://technet.microsoft.com/en-us/sysinternals/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
FileMon - мониторинг файловой системи в реал. времени
PortMon - мониторинг портов
Process Explorer - мон. процессов
RegMon - мон. реестра,
и много другого)

з.ы.: http://forum.antichat.ru/showthread.php?p=437004

с первым оутпост 2009 неплохо справляется..
не катит так как некоторые вирусы проверяют состояния фаервола и если найден то отключается.
vmw патченая, так как некоторые вирусы умеют выбиратся.
+ process explorer + regshot + удобный атладчик


Тоже кстати заинтересовала тема. Как то пытался занятьсяно потом забил =)

Собственно хочу спросить у тех людей, которые занимаются исследованием вирусов...

1. Какой софт следит за изменением Windows`а в целом(фалы, реестр, etc...)?
2. Через какую виртуалку лучше тестировать?
3. Какая сборка для тестирования лучше(офф или не офф)?

Буду благодарен за ответы.
Спасибо.

1. отладчики(ollydbg,ida pro), мониторинг файлов/реестра(filemon/regmon), hex-эдиторы, PEiD - посмотри ещё на краклабе (http://cracklab.ru).
2. Virtualbox имхо лучший.
3. Сборка чего?

Ты так хорошо разбираешься в винде(winapi,ядро) чтобы этим заниматься?

Некоторые могут заразить даже VMware, или вписаться в память, и после формата распаковаться.
http://tinyurl.com/cmtxzx - исследование вируса storm.
https://wasm.ru/forum/viewtopic.php?id=19731&p=1 - полезная тема..

p.s.: стукни ProTeuS'у и спроси) он навернека знает)

перемести тему в Реверсинг

VMware - лучшая виртуалка.
OllyDbg - отладчик уровня пользователя.
Syser - отладчик уровня ядра.

больше ничего и не нада :)

VMware - лучшая виртуалка.
OllyDbg - отладчик уровня пользователя.
Syser - отладчик уровня ядра.

больше ничего и не нада :)
а какже ида? ;)

все эти процес мониторы виртуалки и т.п. хорошо но в любом мало-мальски уважающм себя вирусе будет детект всех этих тулзов.

ИМХО дебагер. дебагер и еще раз дебагер + знание методов ухода из под отладки и детекта отадки... Иначе сливайте воду господа :-)

Надетяться на "СЕНДБОЕСЫ" тоже глупо, их тоже легко детектить..

Думаю ZeuS не вылезет за пределы виртуалки? :o

нет

а ida для случаев когда надо какие-то структуры данных определить и т.п., на то он(или она)) ) и интерактивный :)

Думаю ZeuS не вылезет за пределы виртуалки? :o
Если у тебя есть доступ в одэй, то советую поставить на виртуалку патч, который делает ее реальной машиной(какбе) и позволяет запускать старфорс,фиму,сэйфдиск на варе. Это немного защитит он хитрых зверьков с детектом и обходом вари

З.ы.: этот патч ставится только на VMware Workstation 6.0.2 Build 59824

А можно ссылочку на этот патчик, насколько знаю он уже лежит в паблике, но пока сам не нашел.

']насколько знаю
откуда знаешь?

Вот патчик для версии VMWare версии 5,0,0 build 13124,сама не тестила и не запускала!
Проверяйте сами!Внутри и видеоролики.
http://www.datafilehost.com/download-119cdb8b.html

***************************
* Collision Software *
* http://www.cnsoft.ru *
* ICQ 737084 *
* *
*VMware soft full v 1.2 *
***************************
Описание папок:
soft - полностью наш софт разработанный на заказ известно кем ;)

bonus - программы для работы с vmware, исходники, прочая фигня которую мне удается откапывать в инете, спасибо всем кто помогает.

video - ролики с демонстрацией использования софта, очень полезно как учебник работы с софтом.


Правила использования нашего SOFT-а

Весь софт который мы предлагаем должен использоваться исключительно в образовательных целях или для повышения собственной безопасности,
использование данного софта во всех остальных случаях преследуется законом той страны в которой вы находитесь.
При использовании любого софта из данного архива вы принимаете полную ответственность за использование на себя.


Понятия:

ВМ - виртуальная машина, VMWare версии 5,0,0 build 13124 с установленной на ней Windows XP

Files:
readme.txt - Этот файл, он же Справка

isbackdoor.exe - программа для проверки на успешность установки патча для бэкдора. если ВМ не пропатченная, то при запуске из под вм выдает мевссадж бокс. если же ВМ пропатченная, то выдает ошибку Windows.

mydriverdesc.exe - программа для смены имен устройств VMWare на 3Com в диспетчере устройств. (OLD VERSION)

myvm.exe - запускается не из под ВМ. после запуска нажать кнопку обзор, выбрать файл ProgramFiles\VMWare\bin\vmware-vmx.exe (перед этим его надо сохранить куда нибудь в целях дальнейшего восстановления), ввести необходимый мак адрес, нажать Patch BackDoor, затем ОК. ВНИМАНИЕ из-за смены мак адреса может отказаться работать интернет под варей. Для устранения этой ошибки, запускаем VMWare, но не запускаем на ней операционку, ищем меню VM -> Settings.. (горячая клавиша кстати Ctrl-D)
Тыкаем там Ethernet. В моем случае не работало если там стояло NAT
Изменяем на VMnet0(default bridged), а внутри уже ВМ настраиваем свойства соединения также как и на компе-хосте.
У меня например АДСЛ, я просто дал варе отдельный айпишник 192.168.1.5 (у меня дома 4 компа как на корбле в фильме матрица ))) , настроил днс и адрес гейта. Вот и все. Инет заработал.

mydescname.exe - работает следующим образом: запускаем ее под варей, нажимаем кнопку старт, вводим
название которе мы будем менять и название какое мы хотим поменять.
Проверяем работу программы в диспетчере устройств виндовз.

Характеристики:

Все четыре программы написаны на чистом ассемблере и имеют минимальный размер. Все работает на системном уровне с максимальными привелегиями. Программы полностью изменяют аппаратную часть ВМ. В работе используются самописанные драйверы работющие в ring-0.


Включает в себя:

1)патч бэкдора
2)смену мак адреса сетевой карты вмваре
(проверяется через ipconfig /all запущенным из под ВМ)
3)dump biosa видеокарты


ПОРЯДОК ИСПОЛЬЗОВАНИЯ СОФТА:

1) делаем бэкап файла ProgramFiles\VMWare\bin\vmware-vmx.exe
2) запускаем myvm.exe
3) жмем кнопку обзор
4) выбираем файл ProgramFiles\VMWare\bin\vmware-vmx.exe
5) вводим нужный мак адрес сетевой карты
6) жмем кнопку Patch BackDoor
7) жмем кнопку ОК
8) запускаем ВМ
9) копируем на ВМ в любую папку файлы isbackdoor.exe и mydriverdesc.exe
10) запускаем isbackdoor.exe если ВМ не пропатченная, то при запуске из под вм выдает мевссадж бокс. если же ВМ пропатченная, то выдает ошибку Windows.
11)запускаем mydescname.exe
12)читаем выше че делать с ним
13)проверяем на ВМ->Мойкомпьтер:свойства->Управление->Диспетчер устройств имя того устройства, которое вводилось, должно измениться. У меня был AMD Athlon а теперь Pentiun VIII :-)
===================end============================

по поводу бонусов - тут еще херь есть по детектингу
можно тоже скачать и заюзать
просто там регаться надо а мне щас уже неохота )
http://www.codeproject.com/system/VmDetect.asp

и вот тут еще посмотреть можно
http://chitchat.at.infoseek.co.jp/vmware/vmtools.html

1.Filemon,Regmon...или тотже Outpost.
2.VMware...самая крутая виртуалка :) .Можно также использовать Rollback Rx на реал.компе(если вирус детектит vm).Защита 100%
3.хз)

А можно тестить и на своей системе под ShadowUser, всё равно после перезагрузки всё откатится назад. Вроде как вирусов, обходящих ShadowUser нет. Ну естественно ставить его на чистую систему.

А можно тестить и на своей системе под ShadowUser, всё равно после перезагрузки всё откатится назад. Вроде как вирусов, обходящих ShadowUser нет. Ну естественно ставить его на чистую систему.
Есть программы обходящие Shadow User...подробней на руборде смотри.

Есть программы обходящие Shadow User...подробней на руборде смотри.
Только что хотела сказать
И не только....
Фпрочем,потрите офтопп

2. VirtualBox

Acronis True Image Server

']А можно ссылочку на этот патчик, насколько знаю он уже лежит в паблике, но пока сам не нашел.
Патченг по прежнему одэй и не надо нам тут спагетти развешивать.

Даже устаревший одэй, должен оставаться им. (с)

зайди на кардингворлд и посмотри в раздел "реклама".
Чел хотел продавать этот патч а ему вот что пишут :
"барыга, это нашару в инете лежит. Ссылку не выкладываем чисто за конкурентов."
"Если речь идет о патче для версии 5.0.0.13124, то его можно взять >>>> Рапида"
"для 6ой патч тоже в паблике ходит "

Так что писал не из своих соображений

ИМХО дебагер. дебагер и еще раз дебагер + знание методов ухода из под отладки и детекта отадки... Иначе сливайте воду господа :-)


Дзэн здесь)

ну и + VMware и WinDBG