-
изучение вирусов
вот такой вопрос возник, где можно набрать каких-нибудь вирусов для их изучения, и как их можно изучать, чтоб это было безопасно для своей машины?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
egik
вот такой вопрос возник, где можно набрать каких-нибудь вирусов для их изучения, и как их можно изучать, чтоб это было безопасно для своей машины?
Зависит от того, что понимать под словом "вирус" ... червяка почтового, сетевого червяка, трояна ... или вирус в прямом понимании этого слова (заражающий другие программы). Тут тоже варианты - Win32 (заражает PE файлы), VBS, макровирус ... короче говоря, я могу подкинуть "зверя" для препарации, только вот насчет безопасности - это как сказать ... лучше на рабочем/домашнем ПК висусы не запускать.
-
-
вот вопрос номер один в какой среде препарировать зверя с точки зрения безопасности?
-
Сообщение от
egik
вот вопрос номер один в какой среде препарировать зверя с точки зрения безопасности?
Все зависит от того, как и чем препарировать. Дизассемблировать можно без опасения на любой системе - первичное "знакомство" со зверем обычно начинается именно с дизассемблирования. Запуск и анализ поведения - или выделенный ПК, или виртуалка. В случае с выделенным ПК нужно иметь копию его диска (снятую, скажем, в Acronis True Image), с виртуалкой и так все ясно ... - там можно включит откат для диска
-
-
Сообщение от
egik
вот такой вопрос возник, где можно набрать каких-нибудь вирусов для их изучения...?
наверняка, в инете есть сайты с коллекциями вирусов.
-
-
Сообщение от
santy
наверняка, в инете есть сайты с коллекциями вирусов.
Есть конечно ... то нам как правило именно коллекционные экземпляры, а ковырять интереснее всего ITW, т.е. зверей, которые реально безобразничают в настоящее время
-
-
наш городской провайдер почему-то не против такого сайта:
www.nvkz.net/as/
-
-
Вообще то крупнейшая открытая коллекция вирусов находится по http://vx.netlux.org/ (чуть более 20 000 экземпляров), там и почитать есть что и посмотреть, но надо быть очень осторожным, можно заразить систему. Вообще с ними лучше возиться на виртуальном компьютере, если нет лишнего реального Так же большинство Windows PE вирусов можно безопасно разбирать в linux, но пока под linux хороших инструментов мало. :confused:
-
Visiting Helper
- Вес репутации
- 76
>чуть более 20 000 экземпляров
там более 60 000
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Сообщение от
Minos
Вообще то крупнейшая открытая коллекция вирусов находится по
http://vx.netlux.org/ (чуть более 20 000 экземпляров), там и почитать есть что и посмотреть, но надо быть очень осторожным, можно заразить систему. Вообще с ними лучше возиться на виртуальном компьютере, если нет лишнего реального
Так же большинство Windows PE вирусов можно безопасно разбирать в linux, но пока под linux хороших инструментов мало. :confused:
а как их безопасно скачать и сохранить?
-
Сообщение от
Sanja
>чуть более 20 000 экземпляров
там более 60 000
Немного ошибся: сейчас в их открытом списке 28076 образцов вирусов, плюс конструкторы, движки и вспомогательные утилиты
-
Сообщение от
egik
а как их безопасно скачать и сохранить?
Можно качать и сохранять как обычные файлы, это безопасно, т.к. они переименованы, а большинство и запакована, опасности система будет подвергаться только когда ты извлечешь их из архивов
-
ок, завтра накачаю и залью на болванку, надеюсь, что все буднт хорошо
а потом их можно погонять на виртуальной манине
-
А из инструментов что посоветуете? Дизассемблер какой лучше, IDA Pro 4.8? А если зверь написан на Java или VB, то чем?
-
-
Все же хочется получить ответ от уважаемых спецов
-
-
Сообщение от
nEtVIL
Все же хочется получить ответ от уважаемых спецов
Ну, одним дизассемблером тут не обойтись ...
1. Дизасссемблер IDA любой версии (сейчас актуальная 4.8, хотя пригодна, скажем, 4.6). Важна не версия, а ее расширения - базы сигнатур, pdb файлов и т.п. - они расширяют качество дизассемблирования и повышают читабельность. Кстати, раз уж возник вопрос - IDA дизассемблирует JAVA код ...
2. DeDe для анализа программ на Delphi ... с IDA ему не сравниться, но для экспресс-анализа очень полезно
4. HIEW - версия не очень критична, это удобный маленький HEX редактор с дизассемблером
5. Не повредит что-то типа PE Explorer и View Dependencies - для экспресс-анализа, еще есть PEBrowse ... - короче говоря, средства для первичного анализа PE файла ...
6. Отладчик OllyDbg - он маленький и не требует инсталляции, GUI - это хорошо для начинающих
7. Soft ICE - как основной рабочий отладчик. Очень удобная штука, замечательная в управлении (управление идет а-ля Unix - посредством ввода команд, имхо набрать BPX ... проще, чем полчаса ползать по меню).
8. Что-то типа WKTVBDebugger - для VB
9. Кучу распаковщиков, декомпрессоров, декомпиляторов ... - часто всякие "звери" чем-то сжаты и перед дизассемблированием их нужно распаковать ... хотя это можно сделать руками, из отладчика
-
-
Спасибо за развернутый ответ
-
-
срочно нужен вирус
срочно нужен вирус которым можно попугать,но в тоже время хорошо лечимый
-
-
Всмысле попугать? Вирусы не кого не пугают, а заражают файлы.
-
-
Сообщение от
Зайцев Олег
8. Что-то типа WKTVBDebugger - для VB
9. Кучу распаковщиков, декомпрессоров, декомпиляторов ... - часто всякие "звери" чем-то сжаты и перед дизассемблированием их нужно распаковать ... хотя это можно сделать руками, из отладчика
Ни один декомпилятор не берет распакованный vb экзешник.. с прикрученным импортом.
-