Всем привет!

Начинается новый сезон курса Reverse-Engineering. Курс будет проходить по субботам в ауд. 4337 в 15:00. 

Приглашаются студенты, желающие разобраться в тонкостях работы программ, их отладкой, упаковкой, распаковкой и восстановлении логики работы.

Ведущие курса как обычно, Артур Ханов и Илья Зеленчук.

Post has attachment

Post has attachment

На нашем дропбоксе появился файл samples\infected\Virus.Win32.Maya.4254.rar
Это старый файловый вирус, который нужно посмотреть к следующему занятию. Он не запакован, вам нужно рассказать о том, какой тут применен метод заражения исполняемых файлов.

Post has attachment
Наши друзья из Уральского Федерального Университета тоже читаю спец. курс по revers'у! Поупражняться в решении их задач можно тут - http://reverse.seamy.ru/2013/
Там даже есть скорборд :)

В папке samples/infected  есть архив Trojan.Winlock.3992. Пароль от архива infected. С помощью IDA и OllyDbg вам необходимо получить тело винлокера и описать, что он делает. Первую часть мы проделывали на паре, но так как  ни у кого не оказалось рабочей Virtual Box, то это осталось домой. Что мы делали:
Отлаживайте вредоносы только в виртуалке, делайте Снимки, чтобы откатываться на нужные этапы.
Для распаковки здесь есть несколько путей:
1) Пройти первый упаковщик - UPX. 
2) Пройти второй упаковщик, поставив точки останова (Ctrl+G, имя функции) на VirtualAlloc и производя поиск специфичных для передачи управления функций (Ctrl+S, выражение поиска)
4) Сдампить тело через плагин к OllyDbg (в папке с софтом)
5) Исправить импорты через ImpRec (в папке с софтом)
6) Анализировать через IDA

Вместо 1 и 2 шагов можно выдвинуть предположения о специфичных для винлокера вызовах. Например - CreateThread или Process32First или lstrcmp. Поставим на них точки останова и после выхода из этих процедур скорее всего попадем на тело вредоносной программы. Далее шаги 4-6 как обычно.

Если у вас не выходит - мы с этим еще повозимся, не расстраивайтесь.

Post has attachment
http://code.google.com/p/pentest-bookmarks/wiki/BookmarksList
В Exploitation Intro и Reverse Engineering & Malware есть кое-что полезное.

Post has attachment

Сегодня на паре было предложено два файла для самостоятельного разбора. они лежат в папке /homework/1
getkey.exe - введите ключ, который приведет к успешной ветке исполнения. 
Hint: посмотрите на то, куда идет строка, полученная со входа программы, каким преобразованиям подвергается. Возможно вы найдете какой-нибудь знакомый алгоритм или константы. Как только поймете, как он называется, решить его будет несложно.
Когда разбираете подобные примеры и видите константы, которые вам не понятны, полезно забивать их в гугл, очень часто он их находит.
getkey_2.exe - используя отладчик несложно найти входную строку, являющуюся ключом.

Открывается новый сезон  реверса на мат-мехе! Факультатив предназначен для начинающих и желающих освоить данный навык. Ведущие - я и Артур Ханов. Пары будут проходить по понедельникам, в 17:10 в ауд. 4337. Первое занятие состоится сегодня (09.09). 
Wait while more posts are being loaded