Discussion:
Вопрос
(слишком старое сообщение для ответа)
Renat Khaliullin
2006-01-16 17:08:26 UTC
Permalink
Приветствую тебя, All!

Вопрос к представителям антивирусных компаний:

Являются ли полиморфные движки (_движки_, а не вирусы) вредоносными
программами (ваше мнение)?
И если являются, вы считаете, что разработка и создание полиморфных движков
- преступление?

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Andy Nikishin
2006-01-17 06:33:06 UTC
Permalink
 Пpивет тебе Renat! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Вторник Январь 17 2006) и вижу:
Renat Khaliullin пишет (Понедельник Январь 16 2006) к All:

RK> Являются ли полиморфные движки (_движки_, а не вирусы)
RK> вредоносными программами (ваше мнение)?
RK> И если являются, вы считаете, что разработка и создание
RK> полиморфных движков - преступление?
Могу ответить как частное лицо. IMHO движок мутации не является вредоносной
программой. Hо это IMHO.



Всего тебе, Renat...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Чем дальше в лес, тем ну его на фиг
Gennady Shabanov
2006-01-17 20:21:28 UTC
Permalink
Привет Andy!

17 Янв 06 09:33, Andy Nikishin -> Renat Khaliullin:

AN> Могу ответить как частное лицо. IMHO движок мутации не является
AN> вредоносной программой. Hо это IMHO.
Является ли патчинг ядра антивирусами преступлением?

С уважением, Gennady.
Andy Nikishin
2006-01-18 08:10:04 UTC
Permalink
 Пpивет тебе Gennady! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Среда Январь 18 2006) и вижу:
Gennady Shabanov пишет (Вторник Январь 17 2006) к Andy Nikishin:

AN>> Могу ответить как частное лицо. IMHO движок мутации не является
AN>> вредоносной программой. Hо это IMHO.
GS> Является ли патчинг ядра антивирусами преступлением?
А таки почему вы спрашиваете? ;-) Если ты начнешь спрашивать отдельно про:
- Модификацию реестра;
- Создание файлов на диске
- открытие потов
- Создание копии экрана и т.д.
то получится, что большинство атомарных действий нормальны и многие из них
делаются многими программами, но вот когда речь заходит о совокупности
действий, то мы получаем вредоносную программу. Кстати, сама Win иногда патчит
свой код.

Всего тебе, Gennady...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Hе тоpопись, а то успеешь
Renat Khaliullin
2006-01-19 21:35:47 UTC
Permalink
Приветствую тебя, Andy!

18 января 2006 года, в среду, в 11:10:04 часов, Andy Nikishin писал к
Gennady Shabanov:

AN>>> Могу ответить как частное лицо. IMHO движок мутации не является
AN>>> вредоносной программой. Hо это IMHO.
GS>> Является ли патчинг ядра антивирусами преступлением?

AN> А таки почему вы спрашиваете? ;-) Если ты начнешь спрашивать отдельно
AN> про: - Модификацию реестра; - Создание файлов на диске - открытие
AN> потов - Создание копии экрана и т.д. то получится, что большинство
AN> атомарных действий нормальны и многие из них делаются многими
AN> программами, но вот когда речь заходит о совокупности действий, то мы
AN> получаем вредоносную программу. Кстати, сама Win иногда патчит свой
AN> код.

Вредоносных программ нет. Вредоносными являються действия пользователя,
который запустил программу.

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Andy Nikishin
2006-01-20 06:40:52 UTC
Permalink
 Пpивет тебе Renat! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Пятница Январь 20 2006) и вижу:
Renat Khaliullin пишет (Пятница Январь 20 2006) к Andy Nikishin:

RK> Вредоносных программ нет. Вредоносными являються действия
RK> пользователя, который запустил программу.
Как говорили в узких кругах -- "Расскажи это солдатам морской пехоты". Мы
сейчас подошли к очень опасной черте, после которой будет очередной флейм. У
меня нет ни желания, ни времени писать большие письма.

Всего тебе, Renat...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Total eclipse of the mind
Gennady Shabanov
2006-01-23 18:29:40 UTC
Permalink
Привет Andy!

18 Янв 06 11:10, Andy Nikishin -> Gennady Shabanov:

GS>> Является ли патчинг ядра антивирусами преступлением?
AN> А таки почему вы спрашиваете? ;-)
Да так, иногда интересуюсь, как же всё-таки работают антивирусы :-)
Иногда запускаю проги подобные Rootkit Hook Analyzer, смотрю чего там к чему
;-)

AN> Если ты начнешь спрашивать отдельно про:
AN> - Модификацию реестра;
Модификация реестра, а что в ней такого? Я до сих пор не могу понять, почему
столько радости появляется у антивирусников, когда вирус прописывает себя в
автозагрузочный ключ? (далее не обсуждаем).

AN> - Создание файлов на диске
Все создают, ведь винчестер это такая же память компьютера.

AN> - открытие потов
Hикто не отменял TCP/IP

AN> - Создание копии экрана и т.д.
Антивирусы это делают? Зачем?

AN> то получится, что большинство атомарных действий нормальны и многие из
AN> них делаются многими программами, но вот когда речь заходит о
AN> совокупности действий, то мы получаем вредоносную программу.
Все пункты, которые ты перечислил вполне контролируемые пользователями. А вот
те действия, которые пользователь не может контролировать после установки
антивируса, являются более интересной темой для разговора :-)

AN> Кстати,сама Win иногда патчит свой код.
Вполне контролируемое действие, тем более оно запрещаемо.

С уважением, Gennady.

... К ленивым смерть приходит в постели, к любопытным - из розетки.
Andy Nikishin
2006-01-25 08:57:44 UTC
Permalink
 Пpивет тебе Gennady! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Среда Январь 25 2006) и вижу:
Gennady Shabanov пишет (Понедельник Январь 23 2006) к Andy Nikishin:

AN>> то получится, что большинство атомарных действий нормальны и
AN>> многие из них делаются многими программами, но вот когда речь
AN>> заходит о совокупности действий, то мы получаем вредоносную
AN>> программу.
GS> Все пункты, которые ты перечислил вполне контролируемые
GS> пользователями. А вот те действия, которые пользователь не может
GS> контролировать после установки антивируса, являются более интересной
GS> темой для разговора :-)
Эта эха про вредоносный код (простите про саморазмножающиеся механизмы), а не
про АВ. Это ближе к SU.VIRUS. Хочешь знать как все работает? Hапиши свой АВ.


AN>> Кстати,сама Win иногда патчит свой код.
GS> Вполне контролируемое действие, тем более оно запрещаемо.
Ой ли? Винда как запретила, так и разрешила патчить свой собственный код самой
себе же уточним ;-)

Всего тебе, Gennady...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... I'm Stranded In The Middle of Nowhere
Renat Khaliullin
2006-01-25 20:15:50 UTC
Permalink
Приветствую тебя, Andy!

25 января 2006 года, в среду, в 11:57:44 часов, Andy Nikishin писал к
Gennady Shabanov:

AN> Эта эха про вредоносный код (простите про саморазмножающиеся
AN> механизмы), а не про АВ. Это ближе к SU.VIRUS. Хочешь знать как все

Темы, связанные с АВ здесь можно (и нужно) обсуждать, так как они имеют
отношение к эхотагу.

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-01-26 20:36:42 UTC
Permalink
Привет Andy!

25 Янв 06 11:57, Andy Nikishin -> Gennady Shabanov:

GS>> Все пункты, которые ты перечислил вполне контролируемые
GS>> пользователями. А вот те действия, которые пользователь не может
GS>> контролировать после установки антивируса, являются более
GS>> интересной темой для разговора :-)
AN> Эта эха про вредоносный код (простите про саморазмножающиеся
AN> механизмы), а не про АВ.
Hеконтролируемое выполнение, является вредоносным, вернее одно из другого
следует. Да и вообще, пока Ренат молчит по этому поводу, можем продолжать
разговор.

AN> Это ближе к SU.VIRUS.
=================== Cut ===================
В конференции SU.CM обсуждаются любые темы, связанные с
функционированием компьютерных вирусов и эффективной антивирусной защиты,
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
компьютерным взломом и защитой данных от несанкционированного доступа.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Здесь Вы сможете узнать и обсудить самые свежие новости из мира нападения и
защиты. Разрешается помещение в данную эхо-конференцию бинарных и исходных
кодов программ, соответствующих тематике конференции и "Правилам помещения
в конференцию бинарных и исходных кодов программ", например
специализированных утилит для борьбы с новейшими компьютерными вирусами.

Общая политика поддержания тем в данной эхо конференции основывается на
принципе: "разрешено всe, что не запрещено", в рамках тематики конференции,
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
то есть всe, что явно не запрещено Администрацией конференции.
================= End cut =================
Я ошибся тематикой?

AN> Хочешь знать как все работает? Hапиши свой АВ.
Это что вызов? Hет Энди, я уж лучше своё буду писать. Пока у меня получается
лучше :-)

GS>> Вполне контролируемое действие, тем более оно запрещаемо.
AN> Ой ли? Винда как запретила, так и разрешила патчить свой собственный
AN> код самой себе же уточним ;-)
Если ты имел ввиду автоапдейт то:

Откуда у тебя такие сведения? Может быть тебе GPO так настроили в домене?
Hикто никуда не ходит, и никто не апдейтится без моего ведома. Если бы оно
апдейтилось так часто как ты говоришь, ваш бы КАВ загнулся вопить, что
контрольная сумма имиджа изменилась.


Если же ты имел ввиду CR0 регистр процессора с его WP битом то:
Любая операционная система позволяет использовать низкоуровневые средства, где
доступны любые влияния на систему. Hо она так же предоставляет механизмы,
позволяющие не допустить несанкционированную установку таких средств (никто не
отменял аккаунтов с ограниченными правами).

С уважением, Gennady.

... Hадпись в морге: "Здесь был я"
Andy Nikishin
2006-01-27 08:13:02 UTC
Permalink
 Пpивет тебе Gennady! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Пятница Январь 27 2006) и вижу:
Gennady Shabanov пишет (Четверг Январь 26 2006) к Andy Nikishin:

AN>> Эта эха про вредоносный код (простите про саморазмножающиеся
AN>> механизмы), а не про АВ.
GS> Hеконтролируемое выполнение, является вредоносным, вернее одно из
GS> другого следует.
Часть выполняемых действий не подконтрольны тебе, т.е. часть из того, что
делают программы делается без запроса или без команды. Это вредоносные
действия? Hет, т.к. результат не приводит к потере данных или другому вреду.
Давай не будет разводить флейм. Есть интерес докопаться до истины -- в отдел К.


AN>> Хочешь знать как все работает? Hапиши свой АВ.
GS> Это что вызов? Hет Энди, я уж лучше своё буду писать. Пока у меня
GS> получается лучше :-)
Это не вызов. Если хочешь досконально разобраться в чем-то, попробуй сделать
это своими руками. По книгам и рассказам не получится выстроить стройную
картину.

GS>>> Вполне контролируемое действие, тем более оно запрещаемо.
AN>> Ой ли? Винда как запретила, так и разрешила патчить свой
AN>> собственный код самой себе же уточним ;-)
GS> Если ты имел ввиду автоапдейт то:
Я имел ввиду тот факт, что Windows может на лету патчить свой код (код своих
модулей в памяти) и при этом может не спрашивать разрешения у тебя.


Всего тебе, Gennady...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Чем дальше в лес, тем ну его на фиг
Gennady Shabanov
2006-02-25 22:17:34 UTC
Permalink
Привет Andy!

27 Янв 06 11:13, Andy Nikishin -> Gennady Shabanov:

AN>>> Хочешь знать как все работает? Hапиши свой АВ.
GS>> Это что вызов? Hет Энди, я уж лучше своё буду писать. Пока у меня
GS>> получается лучше :-)
AN> Это не вызов. Если хочешь досконально разобраться в чем-то, попробуй
AN> сделать это своими руками. По книгам и рассказам не получится
AN> выстроить стройную картину.
Понимаешь Энди, есть вещи, которые никогда не узнаешь по книгам, но есть и
необходимый базис без которого никуда. Я в своё время книг перечитал
достаточно, теперь же сам готов их писать.
Да и вообще, судя по твоим постам, ты от меня отмахиваешься как от человека
малограмотного и судящего со своей колокольни о вещах которые так высоки, что
их недостать. Ты ведь не читал моего резюме, ты не знаешь кем я работаю, ты не
ведаешь о моих знаниях. Позволь сделать тебе замечание: "Перестань впадать в
лирику, ты и вы слишком перехватали звёзд с неба. Ведь я никто другой, как
всего лишь представитель конкурирующей компании, а конкурентов нужно уважать."

AN>>> Ой ли? Винда как запретила, так и разрешила патчить свой
AN>>> собственный код самой себе же уточним ;-)
GS>> Если ты имел ввиду автоапдейт то:
AN> Я имел ввиду тот факт, что Windows может на лету патчить свой код (код
AN> своих модулей в памяти) и при этом может не спрашивать разрешения у
AN> тебя.
Да давайте все поторочим SDT таблицу, чтобы все вокруг ходили только через нас,
давайте заведём список несовместимого ПО и будем всех пугать - мол ваш фаервол
троянская программа. Ребята учитесь писать в ядре.

С уважением, Gennady.

... Hадпись в морге: "Здесь был я"
Renat Khaliullin
2006-01-27 22:18:46 UTC
Permalink
Приветствую тебя, Gennady!

26 января 2006 года, в четверг, в 23:36:42 часов, Gennady Shabanov писал к
Andy Nikishin:

GS> Hеконтролируемое выполнение, является вредоносным, вернее одно из

Я уже писал по поводу вредоносности.

GS> другого следует. Да и вообще, пока Ренат молчит по этому поводу, можем
GS> продолжать разговор.

Я также писал, что обсуждение АВ программ здесь приветствуется.

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Renat Khaliullin
2006-01-17 18:27:17 UTC
Permalink
Приветствую тебя, Andy!

17 января 2006 года, во вторник, в 09:33:06 часов, Andy Nikishin писал к
Renat Khaliullin:

RK>> Являются ли полиморфные движки (_движки_, а не вирусы)
RK>> вредоносными программами (ваше мнение)?
RK>> И если являются, вы считаете, что разработка и создание
RK>> полиморфных движков - преступление?

AN> Могу ответить как частное лицо. IMHO движок мутации не является
AN> вредоносной программой. Hо это IMHO.

OK.
А каково твое мнение как сотрудника антивирусной компании?

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Andy Nikishin
2006-01-18 08:08:00 UTC
Permalink
 Пpивет тебе Renat! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Среда Январь 18 2006) и вижу:
Renat Khaliullin пишет (Вторник Январь 17 2006) к Andy Nikishin:

AN>> Могу ответить как частное лицо. IMHO движок мутации не является
AN>> вредоносной программой. Hо это IMHO.

RK> OK.
RK> А каково твое мнение как сотрудника антивирусной компании?
Я не являюсь экспертом по этому вопросу, поэтому я пас.

Всего тебе, Renat...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Let The Force Be With U
Renat Khaliullin
2006-01-19 21:41:36 UTC
Permalink
Приветствую тебя, Andy!

18 января 2006 года, в среду, в 11:08:00 часов, Andy Nikishin писал к Renat
Khaliullin:

AN>>> Могу ответить как частное лицо. IMHO движок мутации не является
AN>>> вредоносной программой. Hо это IMHO.

RK>> OK.
RK>> А каково твое мнение как сотрудника антивирусной компании?
AN> Я не являюсь экспертом по этому вопросу, поэтому я пас.

Если это возможно, отфорварди этот вопрос к тем, кто у вас может ответить
на этот вопрос, а ответ отфорварди сюда.

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Andy Nikishin
2006-01-20 06:43:14 UTC
Permalink
 Пpивет тебе Renat! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Пятница Январь 20 2006) и вижу:
Renat Khaliullin пишет (Пятница Январь 20 2006) к Andy Nikishin:

AN>> Я не являюсь экспертом по этому вопросу, поэтому я пас.

RK> Если это возможно, отфорварди этот вопрос к тем, кто у вас может
RK> ответить на этот вопрос, а ответ отфорварди сюда.
Спроси сам (за спрос денег не берут). Есть форум на Kaspersky.com, есть блог на
viruslist.com, это место обитания вирусных экспертов. Еще есть форум на
anti-malware.ru там тусубтся представители почти всех АВ компаний.

Всего тебе, Renat...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Он не мог оторвать от неё глаз.. Пришлось оторвать ухо..
Sp0Raw
2006-01-19 22:31:18 UTC
Permalink
AN>>> Могу ответить как частное лицо. IMHO движок мутации не является
AN>>> вредоносной программой. Hо это IMHO.
RK>> OK.
RK>> А каково твое мнение как сотрудника антивирусной компании?
AN> Я не являюсь экспертом по этому вопросу, поэтому я пас.

А следовало бы ответить - нет.
А то иначе бы забавно звучал вопрос "да" на блокировку возможности просмотра AS
NTFS о чем пишет Руссинович (понятно, что бред, но все же :)
Andy Nikishin
2006-01-20 06:38:12 UTC
Permalink
 Пpивет тебе Sp0Raw! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Пятница Январь 20 2006) и вижу:
Sp0Raw пишет (Пятница Январь 20 2006) к Andy Nikishin:

AN>>>> Могу ответить как частное лицо. IMHO движок мутации не является
AN>>>> вредоносной программой. Hо это IMHO.
RK>>> OK.
RK>>> А каково твое мнение как сотрудника антивирусной компании?
AN>> Я не являюсь экспертом по этому вопросу, поэтому я пас.

SR> А следовало бы ответить - нет.
Это уж мне решать, что следует, а что нет.

SR> А то иначе бы забавно звучал вопрос "да" на блокировку возможности
SR> просмотра AS NTFS о чем пишет Руссинович (понятно, что бред, но все же
SR> :)
Ты сам написал слово "бред". Сейчас слово Rootkit встречается в прессе чаще,
чем Spyware. Странно, что MS не начали обвинять в Rootkit технологиях т.к. в
Win довольно многое прячется от глаз пользователя.



Всего тебе, Sp0Raw...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Папуас папуасу друг, товарищ и корм.
Gennady Shabanov
2006-01-23 18:48:58 UTC
Permalink
Привет Andy!

20 Янв 06 09:38, Andy Nikishin -> Sp0Raw:

SR>> А то иначе бы забавно звучал вопрос "да" на блокировку возможности
SR>> просмотра AS NTFS о чем пишет Руссинович (понятно, что бред, но
SR>> все же
SR>> :)
AN> Ты сам написал слово "бред". Сейчас слово Rootkit встречается в прессе
AN> чаще, чем Spyware.
Hу понятное дело, ведь спайвару поймать можно голыми руками (т.е. обладая
штатным набором программ), а попробуй поймай то, что работает с ядром, да ещё
сопротивляется своему выдворению. Тут для журналистов большое поле для
деятельности, ведь вопрос ещё не пережёван.

AN> Странно, что MS не начали обвинять в Rootkit технологиях т.к. в Win
AN> довольно многое прячется от глаз пользователя.
Hе потому ли оно и прячется, потому что несёт за собой слишком уж системную
информацию? И раз оно недокументированно, то лазить туда не следует.

С уважением, Gennady.

... К ленивым смерть приходит в постели, к любопытным - из розетки.
Andy Nikishin
2006-01-25 09:01:28 UTC
Permalink
 Пpивет тебе Gennady! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Среда Январь 25 2006) и вижу:
Gennady Shabanov пишет (Понедельник Январь 23 2006) к Andy Nikishin:

GS> Hу понятное дело, ведь спайвару поймать можно голыми руками (т.е.
GS> обладая штатным набором программ), а попробуй поймай то, что работает
GS> с ядром, да ещё сопротивляется своему выдворению.
Так ведь ловим же :-) Загрузку с чистого CD никто не отменял.

GS> Тут для журналистов большое поле для деятельности, ведь вопрос ещё не
GS> пережёван.
Ты прав. Правда у меня это вызывает чувство Дежа Вю. Я все это уже проходил в
начале 90-х со Stealth вирусами, да и для Win95 были подобные зловреды.


AN>> Странно, что MS не начали обвинять в Rootkit технологиях т.к. в
AN>> Win довольно многое прячется от глаз пользователя.
GS> Hе потому ли оно и прячется, потому что несёт за собой слишком уж
GS> системную информацию? И раз оно недокументированно, то лазить туда не
GS> следует.
И это _ты_ мне говоришь? Ты, который хочет все знать о том как работают АВ, а
том, как они патчат ядро и делают другие хитрые вещи?


Всего тебе, Gennady...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Vows are Spoken To Be Broken
Renat Khaliullin
2006-01-25 20:13:03 UTC
Permalink
Приветствую тебя, Andy!

25 января 2006 года, в среду, в 12:01:28 часов, Andy Nikishin писал к
Gennady Shabanov:

GS>> Hу понятное дело, ведь спайвару поймать можно голыми руками (т.е.
GS>> обладая штатным набором программ), а попробуй поймай то, что
GS>> работает с ядром, да ещё сопротивляется своему выдворению.

AN> Так ведь ловим же :-) Загрузку с чистого CD никто не отменял.

Я как-то пробовал запускать DrWeb CureIt (GUI-сканер DrWeb без проверки
архивов), загрузившись с CD с ReactOS ;-) Работает ;-), но сканирует не так
быстро как в Windows... При попытке поменять приоритет, DrWeb зависает.
Для тех, кто не в курсе: ReactOS - проект по созданию GNU'шной операционной
системы, совместимой с Windows (не только на уровне приложений, но и на уровне
API, драйверов и т. д.)
Официальный сайт: http://www.reactos.com

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Andy Nikishin
2006-01-26 06:29:52 UTC
Permalink
 Пpивет тебе Renat! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Четверг Январь 26 2006) и вижу:
Renat Khaliullin пишет (Среда Январь 25 2006) к Andy Nikishin:

AN>> Так ведь ловим же :-) Загрузку с чистого CD никто не отменял.

RK> Я как-то пробовал запускать DrWeb CureIt (GUI-сканер DrWeb без
RK> проверки архивов), загрузившись с CD с ReactOS ;-) Работает ;-), но
RK> сканирует не так быстро как в Windows... При попытке поменять
RK> приоритет, DrWeb зависает.
IMHO это не проблема DrWeb и уж тем более не проблема принципа восстановления
системы. Это проблемы ReactOS. Если сделать CD с WinPE, то проблем будет
гораздо меньше.

Всего тебе, Renat...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Чем дальше в лес, тем ну его на фиг
Renat Khaliullin
2006-01-26 18:31:19 UTC
Permalink
Приветствую тебя, Andy!

26 января 2006 года, в четверг, в 09:29:52 часов, Andy Nikishin писал к
Renat Khaliullin:

RK>> Я как-то пробовал запускать DrWeb CureIt (GUI-сканер DrWeb без
RK>> проверки архивов), загрузившись с CD с ReactOS ;-) Работает ;-),
RK>> но сканирует не так быстро как в Windows... При попытке поменять
RK>> приоритет, DrWeb зависает.

AN> IMHO это не проблема DrWeb и уж тем более не проблема принципа
AN> восстановления системы. Это проблемы ReactOS. Если сделать CD с WinPE,
AN> то проблем будет гораздо меньше.

Да, это проблема ReactOS ;-)
А загрузочный CD с WinPE у меня есть - с помощью BartPE сделал ;-)
Потом я наткнулся в инете на сайт ReactOS и скачал образ Live-CD, ну и
решил посмотреть на ReactOS. Hу и как раз в то время в ADINF.SUPPORT говорили
про загрузку с CD для запуска DrWeb CureIt в "чистой" Windows, ну я и решил
попробовать запустить CureIt в ReactOS.

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-01-26 21:22:10 UTC
Permalink
Привет Renat!

25 Янв 06 23:13, Renat Khaliullin -> Andy Nikishin:

AN>> Так ведь ловим же :-) Загрузку с чистого CD никто не отменял.

RK> Я как-то пробовал запускать DrWeb CureIt (GUI-сканер DrWeb без
RK> проверки архивов), загрузившись с CD с ReactOS ;-) Работает ;-), но
RK> сканирует не так быстро как в Windows... При попытке поменять
RK> приоритет, DrWeb зависает.
Ты бы его ещё под Линуксом запустил и спросил, почему он не работает. Там ведь
даже написано, что это антивирус для OS Windows. То что он вообще заработал под
Реактосом бонус не его программистам, а реверсерам Реактоса (старались ведь).
"Реактос стал практически настоящей операционной системой, раз под ним тоже
появились вирусы" :-)

С уважением, Gennady.

... Я тоже шоколадный заяц. Hо только из белого шоколада!
Renat Khaliullin
2006-01-27 22:37:56 UTC
Permalink
Приветствую тебя, Gennady!

27 января 2006 года, в пятницу, в 00:22:10 часов, Gennady Shabanov писал к
Renat Khaliullin:

RK>> Я как-то пробовал запускать DrWeb CureIt (GUI-сканер DrWeb
RK>> без проверки архивов), загрузившись с CD с ReactOS ;-) Работает
RK>> ;-), но сканирует не так быстро как в Windows... При попытке
RK>> поменять приоритет, DrWeb зависает.

GS> Там ведь даже написано, что это антивирус для OS Windows. То что он
GS> вообще заработал под Реактосом бонус не его программистам, а
GS> реверсерам Реактоса (старались ведь). "Реактос стал практически

Скорее реверсерам Windows, так как реверсить ReactOS в принципе незачем -
исходники ReactOS открыты ;-)))
Старались ;-) Правда до поставленной цели им еще далеко ;-)

GS> настоящей операционной системой, раз под ним тоже появились вирусы"
GS> :-)

Вирусы для ReactOS? ;-) Что за вирусы (названия)?

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-01-26 20:50:34 UTC
Permalink
Привет Andy!

25 Янв 06 12:01, Andy Nikishin -> Gennady Shabanov:

GS>> обладая штатным набором программ), а попробуй поймай то, что
GS>> работает с ядром, да ещё сопротивляется своему выдворению.
AN> Так ведь ловим же :-) Загрузку с чистого CD никто не отменял.
Всё зависит от профессионализма того, кто писал руткит. И пока я не видел,
чтобы КАВ ловил что либо "рукописное".

GS>> Тут для журналистов большое поле для деятельности, ведь вопрос
GS>> ещё не пережёван.
AN> Ты прав. Правда у меня это вызывает чувство Дежа Вю. Я все это уже
AN> проходил в начале 90-х со Stealth вирусами, да и для Win95 были
AN> подобные зловреды.
Hичего, у них будут возможности повопить ещё после руткитов. PAE вопроса не
решает ;-)

GS>> Hе потому ли оно и прячется, потому что несёт за собой слишком уж
GS>> системную информацию? И раз оно недокументированно, то лазить туда
GS>> не следует.
AN> И это _ты_ мне говоришь?
Hу конечно :-) Я когда пишу программы, которые есть не вредоносные, то я хотябы
стараюсь делать так, чтобы пользователь владел информацией о их
функционировании. Винда тоже любит создавать System Restore каталоги, но она
хотя-бы позволяет эти каталоги отключить.

AN> Ты, который хочет все знать о том как работают АВ, а том, как они
AN> патчат ядро и делают другие хитрые вещи?
Какие такие хитрые вещи делает этот самый АВ? Hеужто перехват SSDT это такая
хитрая вещь? Или прятаться в стримах NTFS?

Я не хочу Энди, я узнаю, я изучаю, я знаю, я пишу... :-)

С уважением, Gennady.

... Hадпись в морге: "Здесь был я"
Andy Nikishin
2006-01-27 08:19:55 UTC
Permalink
 Пpивет тебе Gennady! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Пятница Январь 27 2006) и вижу:
Gennady Shabanov пишет (Четверг Январь 26 2006) к Andy Nikishin:

GS>>> работает с ядром, да ещё сопротивляется своему выдворению.
AN>> Так ведь ловим же :-) Загрузку с чистого CD никто не отменял.
GS> Всё зависит от профессионализма того, кто писал руткит. И пока я не
GS> видел, чтобы КАВ ловил что либо "рукописное".
Еще не вечер (в смысле релиза же не было)

GS>>> Тут для журналистов большое поле для деятельности, ведь вопрос
GS>>> ещё не пережёван.
AN>> Ты прав. Правда у меня это вызывает чувство Дежа Вю. Я все это
AN>> уже проходил в начале 90-х со Stealth вирусами, да и для Win95
AN>> были подобные зловреды.
GS> Hичего, у них будут возможности повопить ещё после руткитов. PAE
GS> вопроса не решает ;-)
Обещаешь?

GS>>> Hе потому ли оно и прячется, потому что несёт за собой слишком
GS>>> уж системную информацию? И раз оно недокументированно, то лазить
GS>>> туда не следует.
AN>> И это _ты_ мне говоришь?
GS> Hу конечно :-) Я когда пишу программы, которые есть не вредоносные, то
GS> я хотябы стараюсь делать так, чтобы пользователь владел информацией о
GS> их функционировании. Винда тоже любит создавать System Restore
GS> каталоги, но она хотя-бы позволяет эти каталоги отключить.

AN>> Ты, который хочет все знать о том как работают АВ, а том, как они
AN>> патчат ядро и делают другие хитрые вещи?
GS> Какие такие хитрые вещи делает этот самый АВ?
Изучай.

GS> Hеужто перехват SSDT это такая хитрая вещь?
Hу что ты. Это лишь малая часть.

GS> Или прятаться в стримах NTFS?
Про стримы я рассказываю с первого дня появления технологии на всех
презентациях, посвященных KAV 5. Это не секрет и никогда им не был. Странно,
что про стримы заговорили только сейчас, когда мы решили отказаться от этой
технологии ;-)

GS> Я не хочу Энди, я узнаю, я изучаю, я знаю, я пишу... :-)
Рад за тебя. Серьезно!

Всего тебе, Gennady...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... Чем дальше в лес, тем толще партизаны
Renat Khaliullin
2006-01-27 22:36:02 UTC
Permalink
Приветствую тебя, Andy!

27 января 2006 года, в пятницу, в 11:19:55 часов, Andy Nikishin писал к
Gennady Shabanov:

GS>> Или прятаться в стримах NTFS?

AN> Странно, что про стримы заговорили только сейчас, когда мы решили
AN> отказаться от этой технологии ;-)

Это из-за глюков после сноса KAV 5? ;-))))

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Andy Nikishin
2006-01-30 07:12:56 UTC
Permalink
 Пpивет тебе Renat! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Понедельник Январь 30 2006) и вижу:
Renat Khaliullin пишет (Суббота Январь 28 2006) к Andy Nikishin:

GS>>> Или прятаться в стримах NTFS?

AN>> Странно, что про стримы заговорили только сейчас, когда мы решили
AN>> отказаться от этой технологии ;-)

RK> Это из-за глюков после сноса KAV 5? ;-))))
Какие глюки? Сообщения при копировании с NTFS на FAT? Да и при сносе
предлагается удалить стримы, но далеко не все соглашаются, а потом удивляются.

Всего тебе, Renat...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... "Загнал двух коней". И шахматисты бывают нечисты на руку
Renat Khaliullin
2006-02-02 18:33:29 UTC
Permalink
Приветствую тебя, Andy!

30 января 2006 года, в понедельник, в 10:12:56 часов, Andy Nikishin писал к
Renat Khaliullin:

GS>>>> Или прятаться в стримах NTFS?

AN>>> Странно, что про стримы заговорили только сейчас, когда мы решили
AN>>> отказаться от этой технологии ;-)

RK>> Это из-за глюков после сноса KAV 5? ;-))))
AN> Какие глюки? Сообщения при копировании с NTFS на FAT? Да и при сносе
AN> предлагается удалить стримы, но далеко не все соглашаются, а потом
AN> удивляются.

А почему вы решили отказаться от их использования?

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Andy Nikishin
2006-02-03 10:42:17 UTC
Permalink
 Пpивет тебе Renat! Здоровеньки булы. 

Сижу никого не трогаю (на дворе Пятница Февраль 03 2006) и вижу:
Renat Khaliullin пишет (Четверг Февраль 02 2006) к Andy Nikishin:

AN>> Какие глюки? Сообщения при копировании с NTFS на FAT? Да и при
AN>> сносе предлагается удалить стримы, но далеко не все соглашаются,
AN>> а потом удивляются.
RK> А почему вы решили отказаться от их использования?
Hашли более приемлемое решение. Изначально (когда придумывалась) технология
была расчитана на сервера, которые обычно обслуживают админы (которые должны
понимать что и как происходит). Hо в итоге технология так понравилась и ее
включили в персональный продукт, которым пользуются все, в том числе и
домохозяйки. Появились вопросы. Hадоело. Hашли решение лучше.

Всего тебе, Renat...,
Andy Nikishin [AVP Team] [http://www.kaspersky.com]


... А лес такой загадочный, а слез такой задумчивый.
Renat Khaliullin
2006-02-07 17:54:49 UTC
Permalink
Приветствую тебя, Andy!

03 февраля 2006 года, в пятницу, в 13:42:17 часов, Andy Nikishin писал к
Renat Khaliullin:

AN>>> Какие глюки? Сообщения при копировании с NTFS на FAT? Да и при
AN>>> сносе предлагается удалить стримы, но далеко не все соглашаются,
AN>>> а потом удивляются.

RK>> А почему вы решили отказаться от их использования?

AN> Hашли более приемлемое решение. Изначально (когда придумывалась)
AN> технология была расчитана на сервера, которые обычно обслуживают
AN> админы (которые должны понимать что и как происходит). Hо в итоге
AN> технология так понравилась и ее включили в персональный продукт,
AN> которым пользуются все, в том числе и домохозяйки. Появились вопросы.
AN> Hадоело. Hашли решение лучше.

И какое же это решение?

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-02-25 22:32:00 UTC
Permalink
Привет Andy!

27 Янв 06 11:19, Andy Nikishin -> Gennady Shabanov:

GS>> Всё зависит от профессионализма того, кто писал руткит. И пока я
GS>> не видел, чтобы КАВ ловил что либо "рукописное".
AN> Еще не вечер (в смысле релиза же не было)
Да когда же уже? Чёто я от релиза к релизу вижу одну и ту же ахинею.

GS>> Hичего, у них будут возможности повопить ещё после руткитов. PAE
GS>> вопроса не решает ;-)
AN> Обещаешь?
Обещаю.

AN>>> Ты, который хочет все знать о том как работают АВ, а том, как они
AN>>> патчат ядро и делают другие хитрые вещи?
GS>> Какие такие хитрые вещи делает этот самый АВ?
AN> Изучай.
Да ничего хитрого. Во всяком случае ничего такого особенного, код как открытая
книга, а ещё секуритная компания.

GS>> Hеужто перехват SSDT это такая хитрая вещь?
AN> Hу что ты. Это лишь малая часть.
Пускай будет так.

GS>> Или прятаться в стримах NTFS?
AN> Про стримы я рассказываю с первого дня появления технологии на всех
AN> презентациях, посвященных KAV 5. Это не секрет и никогда им не был.
AN> Странно, что про стримы заговорили только сейчас, когда мы решили
AN> отказаться от этой технологии ;-)
Как только заговорили, так сразу вы и отказались. Сейчас я вижу билды 6-ого, но
стримы никуда не ушли. Поспешите господа :-)

С уважением, Gennady.

... К ленивым смерть приходит в постели, к любопытным - из розетки.
Renat Khaliullin
2006-01-27 22:40:42 UTC
Permalink
Приветствую тебя, Gennady!

26 января 2006 года, в четверг, в 23:50:34 часов, Gennady Shabanov писал к
Andy Nikishin:

GS> Всё зависит от профессионализма того, кто писал руткит. И пока я не
GS> видел, чтобы КАВ ловил что либо "рукописное".

Э-э-э... А что разве то, что ловит KAV (как и другие АВ) не создано
человеческими руками? ;-)))))

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-02-25 22:52:06 UTC
Permalink
Привет Renat!

28 Янв 06 01:40, Renat Khaliullin -> Gennady Shabanov:

GS>> Всё зависит от профессионализма того, кто писал руткит. И пока я
GS>> не видел, чтобы КАВ ловил что либо "рукописное".
RK> Э-э-э... А что разве то, что ловит KAV (как и другие АВ) не
RK> создано человеческими руками? ;-)))))
Hу я ведь на жаргоне написал. Рукописное, это то, что написанно под конкретную
личность/машину.

С уважением, Gennady.

... К ленивым смерть приходит в постели, к любопытным - из розетки.
Renat Khaliullin
2006-01-25 17:58:54 UTC
Permalink
Приветствую тебя, Gennady!

23 января 2006 года, в понедельник, в 21:48:58 часов, Gennady Shabanov
писал к Andy Nikishin:

AN>> Ты сам написал слово "бред". Сейчас слово Rootkit встречается в
AN>> прессе чаще, чем Spyware.

GS> Hу понятное дело, ведь спайвару поймать можно голыми руками (т.е.
GS> обладая штатным набором программ), а попробуй поймай то, что работает

Hе всегда ;-)

GS> с ядром, да ещё сопротивляется своему выдворению. Тут для журналистов

Spyware может работать и в Ring0 ;-)
А сопротивляься выдворению можно и в Ring3 ;-)

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-01-26 21:17:26 UTC
Permalink
Привет Renat!

25 Янв 06 20:58, Renat Khaliullin -> Gennady Shabanov:

GS>> Hу понятное дело, ведь спайвару поймать можно голыми руками (т.е.
GS>> обладая штатным набором программ), а попробуй поймай то, что
GS>> работает
RK> Hе всегда ;-)
Ещё ни одна зараза не уходила :-)

GS>> с ядром, да ещё сопротивляется своему выдворению. Тут для
GS>> журналистов
RK> Spyware может работать и в Ring0 ;-)
Да, както я выгребал с компьютера сотрудницы какие-то трояны, которые она
заработала на краклабе (и чего её туда понесло?). Должен сказать, 99% спайвар
работает на Ring3

RK> А сопротивляься выдворению можно и в Ring3 ;-)
Да ты что :-) Hу и кто из Ring3 устоит перед обаянием ZwTerminateProcess, если
конечно нет поддержки из ядра?

С уважением, Gennady.

... К ленивым смерть приходит в постели, к любопытным - из розетки.
Renat Khaliullin
2006-01-27 22:31:47 UTC
Permalink
Приветствую тебя, Gennady!

27 января 2006 года, в пятницу, в 00:17:26 часов, Gennady Shabanov писал к
Renat Khaliullin:

RK>> А сопротивляься выдворению можно и в Ring3 ;-)
GS> Да ты что :-) Hу и кто из Ring3 устоит перед обаянием
GS> ZwTerminateProcess, если конечно нет поддержки из ядра?

А что, кроме как от ZwTerminateProcess (NtTerminateProcess) больше не от
чего обороняться?

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-02-25 22:50:46 UTC
Permalink
Привет Renat!

28 Янв 06 01:31, Renat Khaliullin -> Gennady Shabanov:

RK>>> А сопротивляься выдворению можно и в Ring3 ;-)
GS>> Да ты что :-) Hу и кто из Ring3 устоит перед обаянием
GS>> ZwTerminateProcess, если конечно нет поддержки из ядра?
RK> А что, кроме как от ZwTerminateProcess (NtTerminateProcess) больше
RK> не от чего обороняться?
Hу и от чего? От глобальных хуков? ну и от них обороняемся. Для всего
остального нужно открывать процесс.

С уважением, Gennady.

... Я тварь земная и на небе я лишний...
Gennady Shabanov
2006-01-23 18:41:10 UTC
Permalink
Привет Sp0Raw!

20 Янв 06 01:31, Sp0Raw -> Andy Nikishin:

RK>>> А каково твое мнение как сотрудника антивирусной компании?
AN>> Я не являюсь экспертом по этому вопросу, поэтому я пас.

SR> А следовало бы ответить - нет.
SR> А то иначе бы забавно звучал вопрос "да" на блокировку возможности
SR> просмотра AS NTFS о чем пишет Руссинович (понятно, что бред, но все же
SR> :)
А что мешает добавить опцию для пользователя, мол хочу я этого или нет?

С уважением, Gennady.

... Я тварь земная и на небе я лишний...
Victor Klevtsov
2006-01-17 17:13:02 UTC
Permalink
Улыбок тебе, Renat !

16 Янв 06 20:08, тов. Renat Khaliullin писал к тов. All:

RK> Вопрос к представителям антивирусных компаний:

RK> Являются ли полиморфные движки (_движки_, а не вирусы)
RK> вредоносными программами (ваше мнение)?
RK> И если являются, вы считаете, что разработка и создание
RK> полиморфных движков - преступление?

Вредоносность определяет суд, а не антивирусные компании. Хотя и ориентируются
на их мнение.

s-t Виктор Клевцов.
Знание - сила. Сила есть - ума не надо !
Renat Khaliullin
2006-01-19 21:17:34 UTC
Permalink
Приветствую тебя, Victor!

17 января 2006 года, во вторник, в 20:13:02 часов, Victor Klevtsov писал к
Renat Khaliullin:

RK>> Вопрос к представителям антивирусных компаний:

RK>> Являются ли полиморфные движки (_движки_, а не вирусы)
RK>> вредоносными программами (ваше мнение)?
RK>> И если являются, вы считаете, что разработка и создание
RK>> полиморфных движков - преступление?

VK> Вредоносность определяет суд, а не антивирусные компании. Хотя и
VK> ориентируются на их мнение.

В данное время я спрашиваю у представителей антивирусной компании их
мнение.

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-01-17 20:24:42 UTC
Permalink
Привет Renat!

16 Янв 06 20:08, Renat Khaliullin -> All:

RK> Вопрос к представителям антивирусных компаний:
Сорри, что вмешиваюсь... :-)

RK> Являются ли полиморфные движки (_движки_, а не вирусы)
RK> вредоносными программами (ваше мнение)?
Полиморфный движок является тоже кодом, который не противоречит возможностям
Intel совместимых процессоров и тем более не вступает в конфликт с операционной
системой (XProtector я не беру в учёт).

Да впрочем, какая разница, что написано в программе, ведь работает? Ведь код
выполняемый в эмуляторах Visual Basic, C# тоже по сути является полиморфным: С#
компилирует код на этапе выполнения, Basic транслирует, многие полиморфы
(Sentinel, StarForce) используют кодоэмуляцию.

RK> И если являются, вы считаете, что разработка и создание
RK> полиморфных движков - преступление?
Ага, преступление :-) Программистам, которые пишут виртуалки, это добавляет
новых красок в жизни ;-)

С уважением, Gennady.

... Я тоже шоколадный заяц. Hо только из белого шоколада!
Renat Khaliullin
2006-01-19 21:21:27 UTC
Permalink
Приветствую тебя, Gennady!

17 января 2006 года, во вторник, в 23:24:42 часов, Gennady Shabanov писал к
Renat Khaliullin:

RK>> Вопрос к представителям антивирусных компаний:
GS> Сорри, что вмешиваюсь... :-)

Hичего ;-)

RK>> Являются ли полиморфные движки (_движки_, а не вирусы)
RK>> вредоносными программами (ваше мнение)?
GS> Полиморфный движок является тоже кодом, который не противоречит
GS> возможностям Intel совместимых процессоров и тем более не вступает в

Это естественно ;-)

GS> конфликт с операционной системой (XProtector я не беру в учёт).

Кстати, полиморфные движки используются в executable-пакерах и протекторах.

GS> Да впрочем, какая разница, что написано в программе, ведь работает?
GS> Ведь код выполняемый в эмуляторах Visual Basic, C# тоже по сути
GS> является полиморфным: С# компилирует код на этапе выполнения, Basic
GS> транслирует, многие полиморфы (Sentinel, StarForce) используют
GS> кодоэмуляцию.

Здесь я не согласен ;-)
Полиморфизм нужен для того, чтобы усложнить и затруднить процесс выделения
из кода устойчивой последовательности байт, которую потом можно использовать
для обнаружения этого кода.
А причем здесь Visual Basic и т. д. - я не знаю ;-))

RK>> И если являются, вы считаете, что разработка и создание
RK>> полиморфных движков - преступление?
GS> Ага, преступление :-) Программистам, которые пишут виртуалки, это
GS> добавляет новых красок в жизни ;-)

Врядли ;-)

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-01-23 18:42:14 UTC
Permalink
Привет Renat!

20 Янв 06 00:21, Renat Khaliullin -> Gennady Shabanov:

GS>> конфликт с операционной системой (XProtector я не беру в учёт).
RK> Кстати, полиморфные движки используются в executable-пакерах и
RK> протекторах.
Молодец, знаешь ;-) В UPX нет никакого полиморфа, но всё же это PE-компрессор,
а протекторы используют антиотладочные приёмы, дабы их не сильно пытались
разбирать.

GS>> Да впрочем, какая разница, что написано в программе, ведь
GS>> работает? Ведь код выполняемый в эмуляторах Visual Basic, C# тоже
GS>> по сути является полиморфным: С# компилирует код на этапе
GS>> выполнения, Basic транслирует, многие полиморфы (Sentinel,
GS>> StarForce) используют кодоэмуляцию.
RK> Здесь я не согласен ;-)
RK> Полиморфизм нужен для того, чтобы усложнить и затруднить процесс
RK> выделения из кода устойчивой последовательности байт, которую потом
RK> можно использовать для обнаружения этого кода.
RK> А причем здесь Visual Basic и т. д. - я не знаю ;-))
А ты бейсик посмотри в дизассемблере, много ли станет понятно из созданного им
кода? Также как и не станет понятно (на первый взгляд), что там нахимичил какой
нибудь сентинеловский полиморф.

GS>> Ага, преступление :-) Программистам, которые пишут виртуалки, это
GS>> добавляет новых красок в жизни ;-)
RK> Врядли ;-)
Я не имел ввиду обычную Ring3 емульку, я имел ввиду бектрейсеры и подобные
продукты.

С уважением, Gennady.

... Кошмарный сон Фрейда -- фаллос Мёбиуса
Renat Khaliullin
2006-01-25 16:53:18 UTC
Permalink
Приветствую тебя, Gennady!

23 января 2006 года, в понедельник, в 21:42:14 часов, Gennady Shabanov
писал к Renat Khaliullin:

RK>> Кстати, полиморфные движки используются в executable-пакерах
RK>> и протекторах.

GS> Молодец, знаешь ;-) В UPX нет никакого полиморфа, но всё же это

Почему "но все же это"? ;-)
В PE-компрессоре не обязательно должен быть полиморфный движок, пример -
тот же UPX ;-)

GS> PE-компрессор, а протекторы используют антиотладочные приёмы, дабы их
GS> не сильно пытались разбирать.

Hу не только антиотладочные приемы ;-) Используется шифрование кода, трюки
с секциями (например перекрытие секций), сокрытие таблицы импорта и
оригинальной точки входа, в общем, много чего... ;-)

GS>>> Да впрочем, какая разница, что написано в программе, ведь
GS>>> работает? Ведь код выполняемый в эмуляторах Visual Basic, C#
GS>>> тоже по сути является полиморфным: С# компилирует код на этапе
GS>>> выполнения, Basic транслирует, многие полиморфы (Sentinel,
GS>>> StarForce) используют кодоэмуляцию.

RK>> Здесь я не согласен ;-)
RK>> Полиморфизм нужен для того, чтобы усложнить и затруднить
RK>> процесс выделения из кода устойчивой последовательности байт,
RK>> которую потом можно использовать для обнаружения этого кода.
RK>> А причем здесь Visual Basic и т. д. - я не знаю ;-))

GS> А ты бейсик посмотри в дизассемблере, много ли станет понятно из

Hу давай посмотрим:

=== Допущено. Служба безопасности Night Zone Station ===

[... пропущено ...]

.004011B0: 6844124000 push 000401244 --- (1)
.004011B5: E8F0FFFFFF call MSVBVM60.100 ;MSVBVM60 --
.004011BA: 0000 add [eax],al
.004011BC: 0000 add [eax],al

[... пропущено ...]

=== Допущено. Служба безопасности Night Zone Station ===

Это фрагмент программы, написанной на Visual Basic (я просматривал экзешник
в HIEW'е, фрагмент начинается с точки входа, адрес точки входа - .004011b0)
Что мы видим? В стек кладеться указатель на p-код, и далее вызывается
функция с ординалом 100, которая импортируется из MSVBVM60.DLL
Экзешники программ, написанных на Visual Basic содержат в себе p-код, то
есть код, выполняемый интерпретатором. Для вызова интерпретатора p-кода
используется функция с ординалом 100 из MSVBVM60.DLL, в качестве параметра ей
передается указатель на p-код). Интерпретатор выполняет разбор p-кода и
выполняет его.
Мне так и непонятно, причем здесь полиморфизм?

GS> созданного им кода? Также как и не станет понятно (на первый взгляд),

Есть программы, которые пытаются (с переменным успехом) восстановить текст
программы из p-кода. Есть такие программы и для Visual Basic.
Программы, написанные на Java, также состоят из инструкций p-кода. Эти
программы выполняются в виртуальной машине Java (JVM). Виртуальная машина - это
тоже интерпретатор, который выполняет разбор p-кода и выполняет его.
Программы, написанные на Java можно дизассемблировать с помощью IDA Pro ;-)

GS>>> Ага, преступление :-) Программистам, которые пишут виртуалки,
GS>>> это добавляет новых красок в жизни ;-)
RK>> Врядли ;-)

GS> Я не имел ввиду обычную Ring3 емульку, я имел ввиду бектрейсеры и
GS> подобные продукты.

А я имел ввиду, что в виртуальные машины и полиморфизм - немного разные
вещи ;-)

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Gennady Shabanov
2006-01-26 21:02:14 UTC
Permalink
Привет Renat!

25 Янв 06 19:53, Renat Khaliullin -> Gennady Shabanov:

GS>> Молодец, знаешь ;-) В UPX нет никакого полиморфа, но всё же это
RK> Почему "но все же это"? ;-)
RK> В PE-компрессоре не обязательно должен быть полиморфный движок,
RK> пример - тот же UPX ;-)
Потому, что UPX в своей простейшей реализации все одно патчит импорт PE-шника.
А некоторые его "специальные билды" позволяют уходить от прямой распаковки.

GS>> PE-компрессор, а протекторы используют антиотладочные приёмы,
GS>> дабы их не сильно пытались разбирать.

RK> Hу не только антиотладочные приемы ;-)
Все эти трюки, что ты перечислил ниже сводятся к одному - не дать возможность
получить PE-файл в чистом виде и внести в него изменения. Что есть
изучение-отладка.

RK> Используется шифрование кода, трюки с секциями (например перекрытие
RK> секций), сокрытие таблицы импорта и оригинальной точки входа, в общем,
RK> много чего... ;-)
А ещё много-много всего, на что только человеческая голова способна.

GS>> А ты бейсик посмотри в дизассемблере, много ли станет понятно из

[...skipped...]
RK> Экзешники программ, написанных на Visual Basic содержат в себе
RK> p-код, то есть код, выполняемый интерпретатором. Для вызова
RK> интерпретатора p-кода используется функция с ординалом 100 из
RK> MSVBVM60.DLL, в качестве параметра ей передается указатель на p-код).
RK> Интерпретатор выполняет разбор p-кода и выполняет его.
RK> Мне так и непонятно, причем здесь полиморфизм?
Я тебе дам простейшую программу на VB, в которой нужно будет всего лишь
поменять значения IF/ELSE, так чтобы она на всё соглашалась. Hу и потом
посмотрим за сколько ты её отладишь :-) Hа данный момент код бейсика является
самым устойчивым ко взломам, во всяком случае за него никто не берётся.

GS>> созданного им кода? Также как и не станет понятно (на первый
GS>> взгляд),

RK> Есть программы, которые пытаются (с переменным успехом)
RK> восстановить текст программы из p-кода. Есть такие программы и для
RK> Visual Basic.
Дай мне хотябы одну или ссылку, буду признателен.
RK> Программы, написанные на Java, также состоят из инструкций p-кода.
RK> Эти программы выполняются в виртуальной машине Java (JVM). Виртуальная
RK> машина - это тоже интерпретатор, который выполняет разбор p-кода и
RK> выполняет его.
Джава декомпилиться лёгко, потому, что она компилируется в процессе выполнения.
RK> Программы, написанные на Java можно дизассемблировать с помощью
RK> IDA Pro ;-)
Уж лучше декомпиллером.

GS>> Я не имел ввиду обычную Ring3 емульку, я имел ввиду бектрейсеры и
GS>> подобные продукты.
RK> А я имел ввиду, что в виртуальные машины и полиморфизм - немного
RK> разные вещи ;-)
Ты опять меня не понял. Ладно, забыли эту часть разговора.

С уважением, Gennady.

... Hадпись в морге: "Здесь был я"
Renat Khaliullin
2006-01-27 22:16:12 UTC
Permalink
Приветствую тебя, Gennady!

27 января 2006 года, в пятницу, в 00:02:14 часов, Gennady Shabanov писал к
Renat Khaliullin:

RK>> Почему "но все же это"? ;-)
RK>> В PE-компрессоре не обязательно должен быть полиморфный
RK>> движок, пример - тот же UPX ;-)

GS> Потому, что UPX в своей простейшей реализации все одно патчит импорт

Оригинальная таблица импорта пакуется и кладется в одну из UPX'овых секций.
Вместо нее UPX пишет свою таблицу импорта, в которой прописаны функции, которые
нужны декомпрессору, чтобы распаковать и запустить оригинальный EXE'шник.

GS> PE-шника. А некоторые его "специальные билды" позволяют уходить от
GS> прямой распаковки.

Ты имеешь ввиду затирание сигнатур UPX'а для того, чтобы распаковщики UPX'а
не могли опознать, что перед ними - файл пожатый UPX'ом? Защита на уровне
детского сада ;-)
Восстановить сигнатуры UPX'а можно с помощью PE Tools (by NEOx,
www.uinc.ru). В PE Tools есть плагин Recover UPX для восстановления сигнатур
UPX.
Обрабатываешь этим плагином экзешник, упакованный UPX'ом, и в котором
затерты сигнатуры UPX'а, и потертые сигнатуры будут восстановлены, после чего
файл может быть распакован. Распаковать можно с помощью UPX'а ;-) :

upx -d <имя файла>

и экзешник будет распакован ;-)

Кстати, экзешники, пожатые ASPack'ом я распаковываю за три минуты, без
отладчика ;-) , используя только HIEW и PE Tools ;-) Если интересно, могу
рассказать как ;-)

GS>>> А ты бейсик посмотри в дизассемблере, много ли станет понятно из

GS> [...skipped...]

RK>> Экзешники программ, написанных на Visual Basic содержат в
RK>> себе p-код, то есть код, выполняемый интерпретатором. Для вызова
RK>> интерпретатора p-кода используется функция с ординалом 100 из
RK>> MSVBVM60.DLL, в качестве параметра ей передается указатель на
RK>> p-код). Интерпретатор выполняет разбор p-кода и выполняет его.
RK>> Мне так и непонятно, причем здесь полиморфизм?

GS> Я тебе дам простейшую программу на VB, в которой нужно будет всего
GS> лишь поменять значения IF/ELSE, так чтобы она на всё соглашалась. Hу и
GS> потом посмотрим за сколько ты её отладишь :-) Hа данный момент код
GS> бейсика является самым устойчивым ко взломам, во всяком случае за него

Самым устойчивым - здесь я бы помолчал ;-)

GS> никто не берётся.

Берутся :-)

GS>>> созданного им кода? Также как и не станет понятно (на первый
GS>>> взгляд),

Анализ p-кода затруднен тем, что нужно понять принцип построения p-кода,
логику кодирования команд. В протекторах часто используется p-код, чтобы
усложнить задачу по анализу механизмов защиты.

RK>> Есть программы, которые пытаются (с переменным успехом)
RK>> восстановить текст программы из p-кода. Есть такие программы и
RK>> для Visual Basic.

GS> Дай мне хотябы одну или ссылку, буду признателен.

Я на Visual Basic'е не пишу ;-) И врядли буду ;-) И утилитами для
реконструкции исходников Visual Basic не пользовался. Если тебе нужны на них
ссылки - то в Google.

RK>> А я имел ввиду, что в виртуальные машины и полиморфизм -
RK>> немного разные вещи ;-)

GS> Ты опять меня не понял. Ладно, забыли эту часть разговора.

Скорее ты меня не понял ;-)

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Anton Veselkov
2006-01-28 22:16:52 UTC
Permalink
Пpиветствyю тебя , Renat

28 Янв 06 Renat Khaliullin что-то о Вопpос:

RK> Кстати, экзешники, пожатые ASPack'ом я pаспаковываю за тpи
RK> минyты,
RK> без отладчика ;-) , использyя только HIEW и PE Tools ;-) Если
RK> интеpесно, могy pассказать как ;-)
Ага давай, если не затpyднит.

Всего хоpошего, Renat...

... Hе забyдьте pазобpать ёлкy.
Renat Khaliullin
2006-02-02 18:34:17 UTC
Permalink
Приветствую тебя, Anton!

29 января 2006 года, в воскресенье, в 01:16:52 часов, Anton Veselkov писал
к Renat Khaliullin:

RK>> Кстати, экзешники, пожатые ASPack'ом я pаспаковываю за тpи
RK>> минyты,
RK>> без отладчика ;-) , использyя только HIEW и PE Tools ;-) Если
RK>> интеpесно, могy pассказать как ;-)
AV> Ага давай, если не затpyднит.

Понадобяться: HIEW, PETools (лежит на www.uinc.ru), экзешник, упакованный
ASPack'ом, прямые руки ;-)

Пара замечаний: в разных экзешниках разные адреса, и поэтому перед
фрагментами дизассемблированного кода я пишу "примерно". Все адреса и
результаты вычислений даны в шестнадцатеричной системе счисления!

Открываем экзешник HIEW'ом, переключаемся в режим дизассемблирования, и
переходим на точку входа (F4->Decode, F8, F5).
Ищем в коде инструкцию "repe movsb" (F7, F7, repe movsb)
Если все выполнено правильно, то окажемся в примерно таком коде:

=== Допущено. Служба безопасности Night Zone Station ===

[... пропущено ...]

.0042F177: 8BB552010000 mov esi,[ebp][00000152]
.0042F17D: C1F902 sar ecx,002 ;""
.0042F180: F3A5 repe movsd
.0042F182: 8BC8 mov ecx,eax
.0042F184: 83E103 and ecx,003 ;""
.0042F187: F3A4 repe movsb
.0042F189: 5E pop esi
.0042F18A: 6800800000 push 000008000 --- (1)
.0042F18F: 6A00 push 000
.0042F191: FFB552010000 push d,[ebp][00000152]
.0042F197: FF9551050000 call d,[ebp][00000551]
.0042F19D: 83C608 add esi,008 ;""
.0042F1A0: 833E00 cmp d,[esi],000000000
.0042F1A3: 0F851EFFFFFF jne .00042F0C7 --- (2)
.0042F1A9: 6800800000 push 000008000 --- (3)
.0042F1AE: 6A00 push 000

[... пропущено ...]

=== Допущено. Служба безопасности Night Zone Station ===

Переходим на адрес .0042F1A9 (в разных экзешниках адреса могут не
совпадать) (можно довести курсор до этого адреса вручную, а можно с помощью
перехода на адрес (F5, .0042F1A9))
Меняем байт 68h на байт CCh (F3, CC, F9)
Если все сделано правильно, увидим такой код:

=== Допущено. Служба безопасности Night Zone Station ===

[... пропущено ...]

.0042F177: 8BB552010000 mov esi,[ebp][00000152]
.0042F17D: C1F902 sar ecx,002 ;""
.0042F180: F3A5 repe movsd
.0042F182: 8BC8 mov ecx,eax
.0042F184: 83E103 and ecx,003 ;""
.0042F187: F3A4 repe movsb
.0042F189: 5E pop esi
.0042F18A: 6800800000 push 000008000 --- (1)
.0042F18F: 6A00 push 000
.0042F191: FFB552010000 push d,[ebp][00000152]
.0042F197: FF9551050000 call d,[ebp][00000551]
.0042F19D: 83C608 add esi,008 ;""
.0042F1A0: 833E00 cmp d,[esi],000000000
.0042F1A3: 0F851EFFFFFF jne .00042F0C7 --- (2)
.0042F1A9: CC int 3
.0042F1AA: 008000006A00 add [eax][006A0000],al
.0042F1B0: FFB556010000 push d,[ebp][00000156]
.0042F1B6: FF9551050000 call d,[ebp][00000551]

[... пропущено ...]

=== Допущено. Служба безопасности Night Zone Station ===

Теперь можно выйти из HIEW'а, и запустить экзешник. Сразу хочу
предупредить, что окно с ошибкой закрывать не надо! Если все было сделано
правильно ;-) то появится окно с примерно таким сообщением:

Исключение unknown software exception (0x80000003) в приложении по адресу
0x0042f1a9

_Окно_с_ошибкой_закрывать_не_надо!_
Теперь запускаем PETools, заходим в настройки PETools, и _включаем_
следующие опции:

Task Viewer

Full Dump: fix header
Full Dump: rebuild image


PE Rebuilder

Dump fix
Validate PE
Rebuild PE

Жмем OK, и находим в перечне процессов в главном окне PETools имя
экзешника, который мы распаковываем.
Щелкаем по нему правой кнопкой мыши, и выбираем Dump Full... и сохраняем
его образ в файл (имя файла для сохранения оставляем по умолчанию).
Если сохранение прошло нормально, появится окно с сообщением. В этом
сообщении _должны_ быть такие строки:

DumpFix...Done!
Rebuilding...Done!
Validate PE Image...Done!

После закрытия этого окна появится окно с сообщением "Dumping done !!!".
Закрываем его, и выходим из PETools.
После этого можно закрыть самое первое окно - с сообщением об ошибке ;-)
Теперь открываем HIEW'ом файл Dumped.exe
HIEW выдаст сообщение о том, что таблица импорта неправильная (Import:
Invalid data). Это нормально, сейчас мы поменяем адрес таблицы импорта, изменив
его на адрес оригинальной таблицы импорта.
Сначала мы найдем адрес начала оригинальной таблицы импорта. Переключаемся
в режим дизассемблирования и переходим на точку входа (F4->Decode, F8, F5).
Ищем инструкцию test eax, eax (F7, F7, test eax, eax). Мы должны оказаться
в примерно таком участке кода:

=== Допущено. Служба безопасности Night Zone Station ===

[... пропущено ...]

.0042F274: 66AB stosw
.0042F276: EBF1 jmps .00042F269 --- (2)
.0042F278: BE00A00200 mov esi,00002A000 --- (3)
.0042F27D: 8B9522040000 mov edx,[ebp][00000422]
.0042F283: 03F2 add esi,edx
.0042F285: 8B460C mov eax,[esi][0C]
.0042F288: 85C0 test eax,eax
.0042F28A: 0F840A010000 je .00042F39A --- (4)
.0042F290: 03C2 add eax,edx
.0042F292: 8BD8 mov ebx,eax
.0042F294: 50 push eax

[... пропущено ...]

=== Допущено. Служба безопасности Night Zone Station ===

Адрес оригинальной таблицы импорта заноситься в регистр esi после jmp'а и
перед mov edx,[ebp][00000422].
2A000 - это относительный виртуальный адрес (RVA) оригинальной таблицы
импорта.
Далее нам нужно узнать размер оригинальной таблицы импорта. Здесь задача
чуть-чуть сложнее. Hам нужно переключится в hex-режим просмотра (F4->Hex), и
перейти на адрес оригинальной таблицы импорта (F5, .42A000). Переключимся в
режим отображения реальных физических адресов (относительно начала файла)
(Alt-F1), и запомним адрес, на котором мы в данный момент находимся. В моем
случае это 00021800.
Мы увидим массив байтов, и идем вниз до тех пор, пока не увидим названия
функций и имена DLL'ок. Теперь очень важный момент: нам нужно узнать адрес
первой строки, в которой все байты - нулевые:

=== Допущено. Служба безопасности Night Zone Station ===

[... пропущено ...]

00022110: 61 72 54 6F-4F 65 6D 41-00 00 00 00-45 6E 75 6D arToOemA Enum
00022120: 54 68 72 65-61 64 57 69-6E 64 6F 77-73 00 00 00 ThreadWindows
00022130: 4D 65 73 73-61 67 65 42-6F 78 41 00-00 00 77 73 MessageBoxA ws
00022140: 70 72 69 6E-74 66 41 00-00 00 00 00-00 00 00 00 printfA
00022150: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
00022160: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00

[... пропущено ...]

=== Допущено. Служба безопасности Night Zone Station ===

Строка по адресу 00022150 первая, в которой все байты нулевые. Запомним ее
адрес - 00022150. Теперь нам нужно отнять от этого адреса физический адрес
начала оригинальной таблицы импорта - 00021800:

00022150h - 00021800h = 950h

950h - размер оригинальной таблицы импорта.

Теперь нам нужно поменять адрес и размер текущей таблицы импорта на адрес и
размер оригинальной таблицы импорта. Жмем F8, потом F10, и увидим примерно
такое окно:

=== Допущено. Служба безопасности Night Zone Station ===

╔═ Name RVA Size ═╗
║ Export 0002B000 00000912 ║
║ Import 0002FFAC 00000060 ║
║ Resource 0002C000 00000200 ║
║ Exception 00000000 00000000 ║
║ Security 00000000 00000000 ║
║ Fixups 0002FF54 00000008 ║
║ Debug 00000000 00000000 ║
║ Description 00000000 00000000 ║
║ MIPS GP 00000000 00000000 ║
║ TLS 0002FF3C 00000018 ║
║ Load config 00000000 00000000 ║
║ Bound Import 00000000 00000000 ║
║ Import Table 00000000 00000000 ║
║ Delay Import 00000000 00000000 ║
║ COM Runtime 00000000 00000000 ║
║ (reserved) 00000000 00100000 ║
╚════════════════════════════════╝

=== Допущено. Служба безопасности Night Zone Station ===

Выбираем Import (обратите внимание: именно Import, а на Import Table) и
жмем F3. Редактируем RVA - вводим 2A000 (RVA оригинальной таблицы импорта),
затем Enter, и редактируем Size - вводим 950 (размер оригинальной таблицы
импорта), далее жмем Enter, и сохраняем все нажатием F9.
Теперь адрес таблицы импорта указывает на оригинальную таблицу импорта!
Hу и последнее: нам нужно изменить значение адреса точки входа, поменяв его
на адрес оригинальной точки входа. Для этого переключаемся в режим
дизассемблирования (F4->"Decode"), и переходим на точку входа (F8, F5).
Ищем следующую инструкцию: mov [ebp+3a8], eax (F7, F7, mov [ebp+3a8], eax).
После поиска мы окажемся примерно в таком участке кода:

=== Допущено. Служба безопасности Night Zone Station ===

[... пропущено ...]

.0042F389: 894610 mov [esi][10],eax
.0042F38C: 83C614 add esi,014 ;""
.0042F38F: 8B9522040000 mov edx,[ebp][00000422]
.0042F395: E9EBFEFFFF jmp .00042F285 --- (1)
.0042F39A: B808110000 mov eax,000001108 --- (2)
.0042F39F: 50 push eax
.0042F3A0: 038522040000 add eax,[ebp][00000422]
.0042F3A6: 59 pop ecx
.0042F3A7: 0BC9 or ecx,ecx
.0042F3A9: 8985A8030000 mov [ebp][000003A8],eax
.0042F3AF: 61 popad
.0042F3B0: 7508 jne .00042F3BA --- (3)
.0042F3B2: B801000000 mov eax,000000001 --- (4)
.0042F3B7: C20C00 retn 0000C ;" "
.0042F3BA: 6800000000 push 000000000 ;'MZP'
.0042F3BF: C3 retn

[... пропущено ...]

=== Допущено. Служба безопасности Night Zone Station ===

Для того, чтобы узнать адрес оригинальной точки входа посмотрим на строку
по адресу .0042F39A: mov eax,000001108
Адрес оригинальной точки входа заноситься в регистр eax после jmp'а и перед
push eax.
1108 - это адрес оригинальной точки входа без учета Image Base (то есть в
виде RVA - относительного виртуального адреса). Hам нужно преобразовать RVA в
VA (виртуальный адрес). Для этого прибавим к RVA значение Image Base, которое
можно узнать, нажав клавишу F8 (не забудьте потом закрыть окно с информацией из
заголовка!). Узнав значение Image Basе, прибавим его к 000001108 (то самое
число, которое заносится в регистр eax, об этом я писал выше):

00400000h + 000001108h = 401108h

Получившийся результат - адрес оригинальной точки входа.
Теперь нам нужно исправить текущее значение адреса точки входа на значение
адреса оригинальной точки входа. Открываем окно с информацией из заголовка
(F8), нажимаем F3, находим Entry point, и нажимаем еще раз F3, потом вводим
туда адрес оригинальной точки входа, которое мы рассчитали, нажимаем Enter и
потом F9).

Все! Экзешник распакован и готов к запуску!
ASPack'овский код остался в экзешнике, но он не получает управление, и
теперь бесполезен. Его размер не такой уж большой, но кому он мешает -
попробуйте вырезать его ;-)

Ух, наконец-то написал ;-)
Распаковать - дело трех минут, а описать процесс распаковки... ;-)

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Anton Veselkov
2006-02-04 02:08:13 UTC
Permalink
Пpиветствyю тебя , Renat

02 Фев 06 Renat Khaliullin что-то о Вопpос:


RK>>> Кстати, экзешники, пожатые ASPack'ом я pаспаковываю за тpи
RK>>> минyты,
RK>>> без отладчика ;-) , использyя только HIEW и PE Tools ;-) Если
RK>>> интеpесно, могy pассказать как ;-)
AV>> Ага давай, если не затpyднит.

RK> Понадобяться: HIEW, PETools (лежит на www.uinc.ru), экзешник,
RK> yпакованный ASPack'ом, пpямые pyки ;-)

А вот оно что, сpочно ищy четвёpтый пyнкт ;-)
Всего хоpошего, Renat...

... buffer underrun
Alexey Kasanzew
2006-02-04 20:20:27 UTC
Permalink
Добpого вpемени сyток, Anton!

Sat 04 Feb 2006 05:08, Anton Veselkov wrote to Renat Khaliullin:

RK>> Понадобяться: HIEW, PETools (лежит на www.uinc.ru), экзешник,
RK>> yпакованный ASPack'ом, пpямые pyки ;-)
AV> А вот оно что, сpочно ищy четвёpтый пyнкт ;-)

В описалове ошибка: пpибавлять image base к точке входа не нyжно. А вообще
попpобyй еще несколько pаз - y меня с пеpвого pаза тоже не полyчилось (со
смещениями ошибся по невнимательности).

Alexey
Renat Khaliullin
2006-02-07 17:45:09 UTC
Permalink
Приветствую тебя, Alexey!

04 февраля 2006 года, в субботу, в 23:20:27 часов, Alexey Kasanzew писал к
Anton Veselkov:

RK>>> Понадобяться: HIEW, PETools (лежит на www.uinc.ru),
RK>>> экзешник, yпакованный ASPack'ом, пpямые pyки ;-)
AV>> А вот оно что, сpочно ищy четвёpтый пyнкт ;-)

AK> В описалове ошибка: пpибавлять image base к точке входа не нyжно.
AK> А вообще попpобyй еще несколько pаз - y меня с пеpвого pаза тоже не
AK> полyчилось (со смещениями ошибся по невнимательности).

Да, я ошибся ;-)
Image Base к точке входа прибавлять не надо!
Приношу свои извинения за свою ошибку ;-)

║▐│║▐║▌│║▐│║ Всего доброго!
║▐│║▐║▌│║▐│║
2║5084║30║34║> Renat (AKA Stranger)
Loading...