вот такой вопрос возник, где можно набрать каких-нибудь вирусов для их изучения, и как их можно изучать, чтоб это было безопасно для своей машины?
Printable View
вот такой вопрос возник, где можно набрать каких-нибудь вирусов для их изучения, и как их можно изучать, чтоб это было безопасно для своей машины?
[QUOTE=egik]вот такой вопрос возник, где можно набрать каких-нибудь вирусов для их изучения, и как их можно изучать, чтоб это было безопасно для своей машины?[/QUOTE]
Зависит от того, что понимать под словом "вирус" ... червяка почтового, сетевого червяка, трояна ... или вирус в прямом понимании этого слова (заражающий другие программы). Тут тоже варианты - Win32 (заражает PE файлы), VBS, макровирус ... короче говоря, я могу подкинуть "зверя" для препарации, только вот насчет безопасности - это как сказать ... лучше на рабочем/домашнем ПК висусы не запускать.
вот вопрос номер один в какой среде препарировать зверя с точки зрения безопасности?
[QUOTE=egik]вот вопрос номер один в какой среде препарировать зверя с точки зрения безопасности?[/QUOTE]
Все зависит от того, как и чем препарировать. Дизассемблировать можно без опасения на любой системе - первичное "знакомство" со зверем обычно начинается именно с дизассемблирования. Запуск и анализ поведения - или выделенный ПК, или виртуалка. В случае с выделенным ПК нужно иметь копию его диска (снятую, скажем, в Acronis True Image), с виртуалкой и так все ясно ... - там можно включит откат для диска
[QUOTE=egik]вот такой вопрос возник, где можно набрать каких-нибудь вирусов для их изучения...?[/QUOTE]
наверняка, в инете есть сайты с коллекциями вирусов.
[QUOTE=santy]наверняка, в инете есть сайты с коллекциями вирусов.[/QUOTE]
Есть конечно ... то нам как правило именно коллекционные экземпляры, а ковырять интереснее всего ITW, т.е. зверей, которые реально безобразничают в настоящее время
наш городской провайдер почему-то не против такого сайта:
[url]www.nvkz.net/as/[/url]
Вообще то крупнейшая открытая коллекция вирусов находится по [URL=http://vx.netlux.org/]http://vx.netlux.org/[/URL] (чуть более 20 000 экземпляров), там и почитать есть что и посмотреть, но надо быть очень осторожным, можно заразить систему. Вообще с ними лучше возиться на виртуальном компьютере, если нет лишнего реального ;) Так же большинство Windows PE вирусов можно безопасно разбирать в linux, но пока под linux хороших инструментов мало. :confused:
>чуть более 20 000 экземпляров
там более 60 000
[QUOTE=Minos]Вообще то крупнейшая открытая коллекция вирусов находится по [URL=http://vx.netlux.org/]http://vx.netlux.org/[/URL] (чуть более 20 000 экземпляров), там и почитать есть что и посмотреть, но надо быть очень осторожным, можно заразить систему. Вообще с ними лучше возиться на виртуальном компьютере, если нет лишнего реального ;) Так же большинство Windows PE вирусов можно безопасно разбирать в linux, но пока под linux хороших инструментов мало. :confused:[/QUOTE]
а как их безопасно скачать и сохранить?
[QUOTE=Sanja]>чуть более 20 000 экземпляров
там более 60 000[/QUOTE]
Немного ошибся: сейчас в их открытом списке 28076 образцов вирусов, плюс конструкторы, движки и вспомогательные утилиты
[QUOTE=egik]а как их безопасно скачать и сохранить?[/QUOTE]
Можно качать и сохранять как обычные файлы, это безопасно, т.к. они переименованы, а большинство и запакована, опасности система будет подвергаться только когда ты извлечешь их из архивов ;)
ок, завтра накачаю и залью на болванку, надеюсь, что все буднт хорошо :)
а потом их можно погонять на виртуальной манине
А из инструментов что посоветуете? Дизассемблер какой лучше, IDA Pro 4.8? А если зверь написан на Java или VB, то чем?
Все же хочется получить ответ от уважаемых спецов ;)
[QUOTE=nEtVIL]Все же хочется получить ответ от уважаемых спецов ;)[/QUOTE]
Ну, одним дизассемблером тут не обойтись ...
1. Дизасссемблер IDA любой версии (сейчас актуальная 4.8, хотя пригодна, скажем, 4.6). Важна не версия, а ее расширения - базы сигнатур, pdb файлов и т.п. - они расширяют качество дизассемблирования и повышают читабельность. Кстати, раз уж возник вопрос - IDA дизассемблирует JAVA код ...
2. DeDe для анализа программ на Delphi ... с IDA ему не сравниться, но для экспресс-анализа очень полезно
4. HIEW - версия не очень критична, это удобный маленький HEX редактор с дизассемблером
5. Не повредит что-то типа PE Explorer и View Dependencies - для экспресс-анализа, еще есть PEBrowse ... - короче говоря, средства для первичного анализа PE файла ...
6. Отладчик OllyDbg - он маленький и не требует инсталляции, GUI - это хорошо для начинающих
7. Soft ICE - как основной рабочий отладчик. Очень удобная штука, замечательная в управлении (управление идет а-ля Unix - посредством ввода команд, имхо набрать BPX ... проще, чем полчаса ползать по меню).
8. Что-то типа WKTVBDebugger - для VB
9. Кучу распаковщиков, декомпрессоров, декомпиляторов ... - часто всякие "звери" чем-то сжаты и перед дизассемблированием их нужно распаковать ... хотя это можно сделать руками, из отладчика
Спасибо за развернутый ответ :)
срочно нужен вирус которым можно попугать,но в тоже время хорошо лечимый
Всмысле попугать? :? Вирусы не кого не пугают, а заражают файлы. ;)
[QUOTE=Зайцев Олег]
8. Что-то типа WKTVBDebugger - для VB
9. Кучу распаковщиков, декомпрессоров, декомпиляторов ... - часто всякие "звери" чем-то сжаты и перед дизассемблированием их нужно распаковать ... хотя это можно сделать руками, из отладчика[/QUOTE]
Ни один декомпилятор не берет распакованный vb экзешник.. с прикрученным импортом.