Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   Исследование вирусов (https://forum.antichat.xyz/showthread.php?t=114788)

-Hormold- 06.04.2009 23:41
Исследование вирусов
 
Собственно хочу спросить у тех людей, которые занимаются исследованием вирусов...

1. Какой софт следит за изменением Windows`а в целом(фалы, реестр, etc...)?
2. Через какую виртуалку лучше тестировать?
3. Какая сборка для тестирования лучше(офф или не офф)?

Буду благодарен за ответы.
Спасибо.

Ржунимагу 06.04.2009 23:54
уверен что раделом не ошибся???

с первым оутпост 2009 неплохо справляется..
2. vmw помоему не нуждается в комм.
3. скорее офф...


пс. - ИМХО!!!

.dimoN. 07.04.2009 00:10
хоть я вирусы и не исследую... для того чтоб посмотреть за изменениями: process explorer, process monitor, regshot

LEE_ROY 07.04.2009 00:19
всякоразные мониторы, vmware, ida pro, wireshark и тд и тп......

eLWAux 07.04.2009 00:26
http://technet.microsoft.com/en-us/sysinternals/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
FileMon - мониторинг файловой системи в реал. времени
PortMon - мониторинг портов
Process Explorer - мон. процессов
RegMon - мон. реестра,
и много другого)

з.ы.: http://forum.antichat.ru/showthread.php?p=437004

gold-goblin 07.04.2009 00:29
Цитата:
с первым оутпост 2009 неплохо справляется..
не катит так как некоторые вирусы проверяют состояния фаервола и если найден то отключается.
vmw патченая, так как некоторые вирусы умеют выбиратся.
+ process explorer + regshot + удобный атладчик


Тоже кстати заинтересовала тема. Как то пытался занятьсяно потом забил =)

scrat 07.04.2009 00:31
Цитата:
Сообщение от -Hormold-
Собственно хочу спросить у тех людей, которые занимаются исследованием вирусов...

1. Какой софт следит за изменением Windows`а в целом(фалы, реестр, etc...)?
2. Через какую виртуалку лучше тестировать?
3. Какая сборка для тестирования лучше(офф или не офф)?

Буду благодарен за ответы.
Спасибо.
1. отладчики(ollydbg,ida pro), мониторинг файлов/реестра(filemon/regmon), hex-эдиторы, PEiD - посмотри ещё на краклабе.
2. Virtualbox имхо лучший.
3. Сборка чего?

Ты так хорошо разбираешься в винде(winapi,ядро) чтобы этим заниматься?

eLWAux 07.04.2009 00:33
Некоторые могут заразить даже VMware, или вписаться в память, и после формата распаковаться.
http://tinyurl.com/cmtxzx - исследование вируса storm.
https://wasm.ru/forum/viewtopic.php?id=19731&p=1 - полезная тема..

p.s.: стукни ProTeuS'у и спроси) он навернека знает)

перемести тему в Реверсинг

Hellsp@wn 07.04.2009 02:05
VMware - лучшая виртуалка.
OllyDbg - отладчик уровня пользователя.
Syser - отладчик уровня ядра.

больше ничего и не нада :)

LEE_ROY 07.04.2009 10:57
Цитата:
Сообщение от Hellsp@wn
VMware - лучшая виртуалка.
OllyDbg - отладчик уровня пользователя.
Syser - отладчик уровня ядра.

больше ничего и не нада :)
а какже ида? ;)

spider-intruder 07.04.2009 11:21
все эти процес мониторы виртуалки и т.п. хорошо но в любом мало-мальски уважающм себя вирусе будет детект всех этих тулзов.

ИМХО дебагер. дебагер и еще раз дебагер + знание методов ухода из под отладки и детекта отадки... Иначе сливайте воду господа :-)

Надетяться на "СЕНДБОЕСЫ" тоже глупо, их тоже легко детектить..

-Hormold- 07.04.2009 15:41
Думаю ZeuS не вылезет за пределы виртуалки? :o

gold-goblin 07.04.2009 16:05
нет

neprovad 08.04.2009 15:33
а ida для случаев когда надо какие-то структуры данных определить и т.п., на то он(или она)) ) и интерактивный :)

s0l_ir0n 08.04.2009 22:05
Цитата:
Сообщение от -Hormold-
Думаю ZeuS не вылезет за пределы виртуалки? :o
Если у тебя есть доступ в одэй, то советую поставить на виртуалку патч, который делает ее реальной машиной(какбе) и позволяет запускать старфорс,фиму,сэйфдиск на варе. Это немного защитит он хитрых зверьков с детектом и обходом вари

З.ы.: этот патч ставится только на VMware Workstation 6.0.2 Build 59824

Brut[e] 19.04.2009 01:20
А можно ссылочку на этот патчик, насколько знаю он уже лежит в паблике, но пока сам не нашел.

neprovad 19.04.2009 07:09
Цитата:
Сообщение от Brut[e]
насколько знаю
откуда знаешь?

Lamia 19.04.2009 12:33
Вот патчик для версии VMWare версии 5,0,0 build 13124,сама не тестила и не запускала!
Проверяйте сами!Внутри и видеоролики.
http://www.datafilehost.com/download-119cdb8b.html
Цитата:
***************************
* Collision Software *
* http://www.cnsoft.ru *
* ICQ 737084 *
* *
*VMware soft full v 1.2 *
***************************
Описание папок:
soft - полностью наш софт разработанный на заказ известно кем ;)

bonus - программы для работы с vmware, исходники, прочая фигня которую мне удается откапывать в инете, спасибо всем кто помогает.

video - ролики с демонстрацией использования софта, очень полезно как учебник работы с софтом.


Правила использования нашего SOFT-а

Весь софт который мы предлагаем должен использоваться исключительно в образовательных целях или для повышения собственной безопасности,
использование данного софта во всех остальных случаях преследуется законом той страны в которой вы находитесь.
При использовании любого софта из данного архива вы принимаете полную ответственность за использование на себя.


Понятия:

ВМ - виртуальная машина, VMWare версии 5,0,0 build 13124 с установленной на ней Windows XP

Files:
readme.txt - Этот файл, он же Справка

isbackdoor.exe - программа для проверки на успешность установки патча для бэкдора. если ВМ не пропатченная, то при запуске из под вм выдает мевссадж бокс. если же ВМ пропатченная, то выдает ошибку Windows.

mydriverdesc.exe - программа для смены имен устройств VMWare на 3Com в диспетчере устройств. (OLD VERSION)

myvm.exe - запускается не из под ВМ. после запуска нажать кнопку обзор, выбрать файл ProgramFiles\VMWare\bin\vmware-vmx.exe (перед этим его надо сохранить куда нибудь в целях дальнейшего восстановления), ввести необходимый мак адрес, нажать Patch BackDoor, затем ОК. ВНИМАНИЕ из-за смены мак адреса может отказаться работать интернет под варей. Для устранения этой ошибки, запускаем VMWare, но не запускаем на ней операционку, ищем меню VM -> Settings.. (горячая клавиша кстати Ctrl-D)
Тыкаем там Ethernet. В моем случае не работало если там стояло NAT
Изменяем на VMnet0(default bridged), а внутри уже ВМ настраиваем свойства соединения также как и на компе-хосте.
У меня например АДСЛ, я просто дал варе отдельный айпишник 192.168.1.5 (у меня дома 4 компа как на корбле в фильме матрица ))) , настроил днс и адрес гейта. Вот и все. Инет заработал.

mydescname.exe - работает следующим образом: запускаем ее под варей, нажимаем кнопку старт, вводим
название которе мы будем менять и название какое мы хотим поменять.
Проверяем работу программы в диспетчере устройств виндовз.

Характеристики:

Все четыре программы написаны на чистом ассемблере и имеют минимальный размер. Все работает на системном уровне с максимальными привелегиями. Программы полностью изменяют аппаратную часть ВМ. В работе используются самописанные драйверы работющие в ring-0.


Включает в себя:

1)патч бэкдора
2)смену мак адреса сетевой карты вмваре
(проверяется через ipconfig /all запущенным из под ВМ)
3)dump biosa видеокарты


ПОРЯДОК ИСПОЛЬЗОВАНИЯ СОФТА:

1) делаем бэкап файла ProgramFiles\VMWare\bin\vmware-vmx.exe
2) запускаем myvm.exe
3) жмем кнопку обзор
4) выбираем файл ProgramFiles\VMWare\bin\vmware-vmx.exe
5) вводим нужный мак адрес сетевой карты
6) жмем кнопку Patch BackDoor
7) жмем кнопку ОК
8) запускаем ВМ
9) копируем на ВМ в любую папку файлы isbackdoor.exe и mydriverdesc.exe
10) запускаем isbackdoor.exe если ВМ не пропатченная, то при запуске из под вм выдает мевссадж бокс. если же ВМ пропатченная, то выдает ошибку Windows.
11)запускаем mydescname.exe
12)читаем выше че делать с ним
13)проверяем на ВМ->Мойкомпьтер:свойства->Управление->Диспетчер устройств имя того устройства, которое вводилось, должно измениться. У меня был AMD Athlon а теперь Pentiun VIII :-)
===================end============================

по поводу бонусов - тут еще херь есть по детектингу
можно тоже скачать и заюзать
просто там регаться надо а мне щас уже неохота )
http://www.codeproject.com/system/VmDetect.asp

и вот тут еще посмотреть можно
http://chitchat.at.infoseek.co.jp/vmware/vmtools.html

Not Found... 19.04.2009 12:50
1.Filemon,Regmon...или тотже Outpost.
2.VMware...самая крутая виртуалка :) .Можно также использовать Rollback Rx на реал.компе(если вирус детектит vm).Защита 100%
3.хз)

lll6 19.04.2009 13:03
А можно тестить и на своей системе под ShadowUser, всё равно после перезагрузки всё откатится назад. Вроде как вирусов, обходящих ShadowUser нет. Ну естественно ставить его на чистую систему.

Not Found... 19.04.2009 13:06
Цитата:
Сообщение от lll6
А можно тестить и на своей системе под ShadowUser, всё равно после перезагрузки всё откатится назад. Вроде как вирусов, обходящих ShadowUser нет. Ну естественно ставить его на чистую систему.
Есть программы обходящие Shadow User...подробней на руборде смотри.

Lamia 19.04.2009 14:24
Цитата:
Сообщение от Not Found...
Есть программы обходящие Shadow User...подробней на руборде смотри.
Только что хотела сказать
И не только....
Фпрочем,потрите офтопп

MMouXe 19.04.2009 23:49
2. VirtualBox

ProTeuS 20.04.2009 01:14
Acronis True Image Server

s0l_ir0n 20.04.2009 10:28
Цитата:
Сообщение от Brut[e]
А можно ссылочку на этот патчик, насколько знаю он уже лежит в паблике, но пока сам не нашел.
Патченг по прежнему одэй и не надо нам тут спагетти развешивать.

Даже устаревший одэй, должен оставаться им. (с)

Brut[e] 21.04.2009 05:03
зайди на кардингворлд и посмотри в раздел "реклама".
Чел хотел продавать этот патч а ему вот что пишут :
"барыга, это нашару в инете лежит. Ссылку не выкладываем чисто за конкурентов."
"Если речь идет о патче для версии 5.0.0.13124, то его можно взять >>>> Рапида"
"для 6ой патч тоже в паблике ходит "

Так что писал не из своих соображений

xssww2 21.04.2009 21:21
Цитата:
Сообщение от spider-intruder
ИМХО дебагер. дебагер и еще раз дебагер + знание методов ухода из под отладки и детекта отадки... Иначе сливайте воду господа :-)
Дзэн здесь)

ну и + VMware и WinDBG


Время: 06:09