SlideShare una empresa de Scribd logo

Введение в реверс-инжиниринг вредоносного ПО - Сергей Харюк

Descargar como PPTX, PDF
HackIT Ukraine
HackIT Ukraine

Презентация с форума http://hackit-ukraine.com/ Сергей Харюк Вирусный аналитик, Zillya Введение в реверс-инжиниринг вредоносного ПО О спикере: Администратор форума посвященого тематике ревер-инжиниринга, изучает тему реверс-инжиниринга более 5 лет. Работает вирусным аналитиком в антивирусной лаборатори "Zillya".

Software
1 de 22
Сергей Харюк aka ximera Introduction into malware analysis
О себе  Адми н и с тратор фо рума reverse4 yo u . org  Ви рус н ый ан али т ик в Zillya !  Кап и т ан C T F - к о манды R 0 - C rew
Что такое вирусный анализ
Этапы анализа  Ст ат и чески й ан али з  Баз овый  Углублен н ый  Д и н ами чески й ан али з  Соз дан и е си гн ат ур
Базовый статический анализ  О пределен ие т и па файла  О пределен ие компи лят ора /линкера  О пределен ие з ащи т ы н а файле  Анали з служ ебной и нформаци и ( заголовки , секци и )  Ан али з т абли цы и мпорт а /экспорт а  Пои ск и ан али з ст рок
Инструменты базового анализа  Detect it Easy  PE Studio  PE Tools  CF F Explor er
Углубленный статический анализ  Ан али з и сполн яемого кода в ди з ассемблере /декомпилят оре  Пои ск з ащи т ных механ и з мов ( анти вм /антиэмуль /шифрование кода)  Пои ск вредон осн ого кода  О пределен ие алгори т ма работ ы
Инструменты углубленного статического анализа  IDA  radare2  .Net Reflector  IDR
Расшифровка блока данных .text:00401526 mov edi, dword_40504C ; помещаем в EDI размер расшифровываемого блока .text:0040152C mov esi, off_405050 ; помещаем в ESI адрес начала блока расшифроки .text:00401532 xor ecx, ecx ; обнуляем счетки .text:00401534 test edi, edi ; если EDI == 0 .text:00401536 jle short loc_40154E ; выходим из цикла .text:00401538 loc_401538: ; CODE XREF: .text:0040154Cj .text:00401538 mov eax, ecx ; помещаем в eax значение счетчика .text:0040153A push 14h ; помещаем в стек значение 20 .text:0040153C cdq ; заполняем EDX значением старшего байта регистра EAX .text:0040153D pop ebx ; извлекаем из стека значение 20 в EBX .text:0040153E idiv ebx ; помещаем в EBX результат EBX%EAX .text:00401540 mov al, [edx+405038h] ; извлекаем в AL ключ расшифровки .text:00401546 xor [ecx+esi], al ; расшифровываем байт .text:00401549 inc ecx ; увеличиваем счетчик .text:0040154A cmp ecx, edi ; если счетчик меньше размера блока .text:0040154C jl short loc_401538 ; продолжаем цикл
Тот же алгоритм на Python def xor_decrypt_key_array(effective_address, keys, size): counter = 0 key_counter = 0 while counter < size : key_counter = counter % 20 patchbyte( effective_address + counter, byte( effective_address + counter ) ^ keys [ key_counter ] ) counter += 1
.text:00401511 call sub_4018A6 .text:00401516 nop .text:00401517 nop .text:00401518 nop .text:00401519 nop .text:0040151A call sub_4018CC .text:00401511 call sub_4018A6 .text:00401516 adc edx, [ebx] .text:00401518 adc edx, [ebx] .text:0040151A call sub_4018CC Примеры зашифрованных участков кода З аши фрованный код О ри ги нальны й код
Динамический анализ  Исследован и е в песочн и це  Ан али з файловой си ст емы  Ан али з реест ра  Анали з сетевого трафи ка  Исследован и е под от ладчи ком  Пошаговое и сполн ен ие  Из учен и е прои сходящего
Рабочий день вирусного аналитика
Инструменты динамического анализа  Песочн и цы( Sandboxes )  cuckoo( malwr.com )  Anubis  Har dwar e sandboxes  Внутренни е разработки  О т ладчики  O llyDbg  X64dbg  WinDbg
Создание сигнатур  Пои ск и опи сан и е з акон омерност ей  Проверка выявленных закономерностей  Пои ск дополн ит ельных факт оров
Инструменты для поиска сигнатур  010 Editor  WinHex  Вн ут рен н и е раз работ ки
Привет для Бацьки Delphi - the best. F uck off all the r est. Neshta 1.0 Made in Belar us . Пры вiт ан н е усiм цiкавым беларус_кiм дз яучат ам . Аляксандр Рыгоравiч , вам таксама :) Восен ь - кепская пара... Алiварыя - лепшае пiва ! Best r egar ds 2 Tommy Salo. [Nov - 2005] your s [ Dziadulja Apanas ]
Литература для изучения  RE for beginner s - http://beginner s.re /  Pr actical Malwar e Analysis - http://goo.gl/WwR XmS  Malwar e Analyst's Cookbook - http:// goo.gl/tq53nr  The IDA Pr o Book - http:// goo.gl/MP45mH  Pr actical Rever se Engineer ing - http://goo.gl/Bi7r lS  Secr ets of Rever se Engineer ing - http:// goo.gl/Z Kr m7a  G r ay Hat Python - https:// goo.gl/ec5zvn  Rootkits and Bootkits - https:// goo.gl/SUcLmm
Ресурсы для изучения  R 0- Cr ew - >Би бли отек a - https:// goo.gl/F W2VCd  http://www.opensecur itytr aining.info /  wasm.r u  exelab.r u  Awesome Malwar e Analysis - https:// goo.gl/iLjHtT
Вопросы
Контакты Social:  twitter.com /ximer us  fb.com /ximer us  linkedin.com /ximer us Jabber /e - mail:  ximer a@r ever se4you.or g Site:  r ever se4you.or g
Спасибо за внимание

Recomendados

Александр Сомов "C++: препроцессор, компилятор, компоновщик"
Александр Сомов "C++: препроцессор, компилятор, компоновщик"Александр Сомов "C++: препроцессор, компилятор, компоновщик"
Александр Сомов "C++: препроцессор, компилятор, компоновщик"Yandex
 
«Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus
«Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus «Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus
«Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus0xdec0de
 
Что нового в PHP-5.3
Что нового в PHP-5.3 Что нового в PHP-5.3
Что нового в PHP-5.3 phpclub
 
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/LinuxDefconRussia
 
Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование LinuxAnthony Shoumikhin
 
лабораторная работа №9
лабораторная работа №9лабораторная работа №9
лабораторная работа №9Zhanna Kazakova
 
Бессигнатурное обнаружение PHP-бэкдоров
Бессигнатурное обнаружение PHP-бэкдоровБессигнатурное обнаружение PHP-бэкдоров
Бессигнатурное обнаружение PHP-бэкдоровPositive Hack Days
 
file handling in c
file handling in cfile handling in c
file handling in cMaxim Shaptala
 

Recomendados

Александр Сомов "C++: препроцессор, компилятор, компоновщик"
Александр Сомов "C++: препроцессор, компилятор, компоновщик"Александр Сомов "C++: препроцессор, компилятор, компоновщик"
Александр Сомов "C++: препроцессор, компилятор, компоновщик"Yandex
 
«Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus
«Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus «Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus
«Introduction to malware reverse engineering» by Sergey Kharyuk aka ximerus0xdec0de
 
Что нового в PHP-5.3
Что нового в PHP-5.3 Что нового в PHP-5.3
Что нового в PHP-5.3 phpclub
 
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/LinuxDefconRussia
 
Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование LinuxAnthony Shoumikhin
 
лабораторная работа №9
лабораторная работа №9лабораторная работа №9
лабораторная работа №9Zhanna Kazakova
 
Бессигнатурное обнаружение PHP-бэкдоров
Бессигнатурное обнаружение PHP-бэкдоровБессигнатурное обнаружение PHP-бэкдоров
Бессигнатурное обнаружение PHP-бэкдоровPositive Hack Days
 
file handling in c
file handling in cfile handling in c
file handling in cMaxim Shaptala
 
Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование LinuxAnthony Shoumikhin
 
Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование LinuxAnthony Shoumikhin
 
Python infrastructure from scratch
Python infrastructure from scratchPython infrastructure from scratch
Python infrastructure from scratchВиктор Тыщенко
 
Web осень 2013 лекция 9
Web осень 2013 лекция 9Web осень 2013 лекция 9
Web осень 2013 лекция 9Technopark
 
Что нового в Perl 5.14
Что нового в Perl 5.14Что нового в Perl 5.14
Что нового в Perl 5.14Andrew Shitov
 
Python i18n
Python i18nPython i18n
Python i18nРуслан Юлдашев
 
Александр Кошелев: Препарирование работы асинхронного кода
Александр Кошелев: Препарирование работы асинхронного кодаАлександр Кошелев: Препарирование работы асинхронного кода
Александр Кошелев: Препарирование работы асинхронного кодаit-people
 
JavaDay'14
JavaDay'14JavaDay'14
JavaDay'14Kirill Golodnov
 
Язык программирования Go для Perl-программистов
Язык программирования Go для Perl-программистовЯзык программирования Go для Perl-программистов
Язык программирования Go для Perl-программистовAndrew Shitov
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахrevisium
 
QA Fest 2017. Иван Цыганов. Не смешите мой coverage
QA Fest 2017. Иван Цыганов. Не смешите мой coverageQA Fest 2017. Иван Цыганов. Не смешите мой coverage
QA Fest 2017. Иван Цыганов. Не смешите мой coverageQAFest
 
Perl6pod devconf
Perl6pod devconfPerl6pod devconf
Perl6pod devconfzagru
 
20110227 csseminar alvor_breslav
20110227 csseminar alvor_breslav20110227 csseminar alvor_breslav
20110227 csseminar alvor_breslavComputer Science Club
 
Using perl6-pod
Using perl6-podUsing perl6-pod
Using perl6-podzagru
 
Perl6pod lvee
Perl6pod lveePerl6pod lvee
Perl6pod lveezagru
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхPositive Hack Days
 
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep «Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep e-Legion
 
Переполнение буфера и другие уязвимости ПО - Роман Олейников
Переполнение буфера и другие уязвимости ПО - Роман ОлейниковПереполнение буфера и другие уязвимости ПО - Роман Олейников
Переполнение буфера и другие уязвимости ПО - Роман ОлейниковHackIT Ukraine
 
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...DETER-Project
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityAnkit Ranjan
 
Big data abstract
Big data abstractBig data abstract
Big data abstractnandhiniarumugam619
 
Big data Abstract
Big data AbstractBig data Abstract
Big data AbstractLiodegar Bracamonte
 

Más contenido relacionado

La actualidad más candente

Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование LinuxAnthony Shoumikhin
 
Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование LinuxAnthony Shoumikhin
 
Web осень 2013 лекция 9
Web осень 2013 лекция 9Web осень 2013 лекция 9
Web осень 2013 лекция 9Technopark
 
Что нового в Perl 5.14
Что нового в Perl 5.14Что нового в Perl 5.14
Что нового в Perl 5.14Andrew Shitov
 
Александр Кошелев: Препарирование работы асинхронного кода
Александр Кошелев: Препарирование работы асинхронного кодаАлександр Кошелев: Препарирование работы асинхронного кода
Александр Кошелев: Препарирование работы асинхронного кодаit-people
 
Язык программирования Go для Perl-программистов
Язык программирования Go для Perl-программистовЯзык программирования Go для Perl-программистов
Язык программирования Go для Perl-программистовAndrew Shitov
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахrevisium
 
QA Fest 2017. Иван Цыганов. Не смешите мой coverage
QA Fest 2017. Иван Цыганов. Не смешите мой coverageQA Fest 2017. Иван Цыганов. Не смешите мой coverage
QA Fest 2017. Иван Цыганов. Не смешите мой coverageQAFest
 
Perl6pod devconf
Perl6pod devconfPerl6pod devconf
Perl6pod devconfzagru
 
Using perl6-pod
Using perl6-podUsing perl6-pod
Using perl6-podzagru
 
Perl6pod lvee
Perl6pod lveePerl6pod lvee
Perl6pod lveezagru
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхPositive Hack Days
 
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep «Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep e-Legion
 

La actualidad más candente (17)

Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование Linux
 
Программирование Linux
Программирование LinuxПрограммирование Linux
Программирование Linux
 
Python infrastructure from scratch
Python infrastructure from scratchPython infrastructure from scratch
Python infrastructure from scratch
 
Web осень 2013 лекция 9
Web осень 2013 лекция 9Web осень 2013 лекция 9
Web осень 2013 лекция 9
 
Что нового в Perl 5.14
Что нового в Perl 5.14Что нового в Perl 5.14
Что нового в Perl 5.14
 
Python i18n
Python i18nPython i18n
Python i18n
 
Александр Кошелев: Препарирование работы асинхронного кода
Александр Кошелев: Препарирование работы асинхронного кодаАлександр Кошелев: Препарирование работы асинхронного кода
Александр Кошелев: Препарирование работы асинхронного кода
 
JavaDay'14
JavaDay'14JavaDay'14
JavaDay'14
 
Язык программирования Go для Perl-программистов
Язык программирования Go для Perl-программистовЯзык программирования Go для Perl-программистов
Язык программирования Go для Perl-программистов
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
 
QA Fest 2017. Иван Цыганов. Не смешите мой coverage
QA Fest 2017. Иван Цыганов. Не смешите мой coverageQA Fest 2017. Иван Цыганов. Не смешите мой coverage
QA Fest 2017. Иван Цыганов. Не смешите мой coverage
 
Perl6pod devconf
Perl6pod devconfPerl6pod devconf
Perl6pod devconf
 
20110227 csseminar alvor_breslav
20110227 csseminar alvor_breslav20110227 csseminar alvor_breslav
20110227 csseminar alvor_breslav
 
Using perl6-pod
Using perl6-podUsing perl6-pod
Using perl6-pod
 
Perl6pod lvee
Perl6pod lveePerl6pod lvee
Perl6pod lvee
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
 
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep «Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep
«Отладка приложений с помощью dtrace» — Станислав Краснояров, Redsteep
 

Destacado

Переполнение буфера и другие уязвимости ПО - Роман Олейников
Переполнение буфера и другие уязвимости ПО - Роман ОлейниковПереполнение буфера и другие уязвимости ПО - Роман Олейников
Переполнение буфера и другие уязвимости ПО - Роман ОлейниковHackIT Ukraine
 
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...DETER-Project
 
Cse ethical hacking ppt
Cse ethical hacking pptCse ethical hacking ppt
Cse ethical hacking pptSHAHID ANSARI
 
Cse ethical hacking ppt
Cse ethical hacking pptCse ethical hacking ppt
Cse ethical hacking pptSHAHID ANSARI
 
fog computing ppt
fog computing ppt fog computing ppt
fog computing ppt sravya raju
 
Fog computing technology
Fog computing technologyFog computing technology
Fog computing technologyNikhil Sabu
 
Importance of sports in our life by Shreyansh Gupta
Importance of sports in our life by Shreyansh GuptaImportance of sports in our life by Shreyansh Gupta
Importance of sports in our life by Shreyansh GuptaShreyansh Gupta
 
presentation on cyber crime and security
presentation on cyber crime and securitypresentation on cyber crime and security
presentation on cyber crime and securityAlisha Korpal
 
Cybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecurityCybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecuritysommerville-videos
 
ethical hacking in the modern times
ethical hacking in the modern timesethical hacking in the modern times
ethical hacking in the modern timesjeshin jose
 

Destacado (20)

Переполнение буфера и другие уязвимости ПО - Роман Олейников
Переполнение буфера и другие уязвимости ПО - Роман ОлейниковПереполнение буфера и другие уязвимости ПО - Роман Олейников
Переполнение буфера и другие уязвимости ПО - Роман Олейников
 
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...
First Steps Toward Scientific Cyber-Security Experimentation in Wide-Area Cyb...
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Big data abstract
Big data abstractBig data abstract
Big data abstract
 
Big data Abstract
Big data AbstractBig data Abstract
Big data Abstract
 
Abstract
AbstractAbstract
Abstract
 
Abstract
AbstractAbstract
Abstract
 
Cse ethical hacking ppt
Cse ethical hacking pptCse ethical hacking ppt
Cse ethical hacking ppt
 
FOGCOMPUTING
FOGCOMPUTINGFOGCOMPUTING
FOGCOMPUTING
 
Cse ethical hacking ppt
Cse ethical hacking pptCse ethical hacking ppt
Cse ethical hacking ppt
 
Mobile computing
Mobile computingMobile computing
Mobile computing
 
fog computing ppt
fog computing ppt fog computing ppt
fog computing ppt
 
Fog computing technology
Fog computing technologyFog computing technology
Fog computing technology
 
Importance of sports in our life by Shreyansh Gupta
Importance of sports in our life by Shreyansh GuptaImportance of sports in our life by Shreyansh Gupta
Importance of sports in our life by Shreyansh Gupta
 
presentation on cyber crime and security
presentation on cyber crime and securitypresentation on cyber crime and security
presentation on cyber crime and security
 
Cybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecurityCybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecurity
 
Fog computing
Fog computingFog computing
Fog computing
 
ETHICAL HACKING PPT
ETHICAL HACKING PPTETHICAL HACKING PPT
ETHICAL HACKING PPT
 
Mobile Computing
Mobile ComputingMobile Computing
Mobile Computing
 
ethical hacking in the modern times
ethical hacking in the modern timesethical hacking in the modern times
ethical hacking in the modern times
 

Similar a Введение в реверс-инжиниринг вредоносного ПО - Сергей Харюк

«Introduction to malware reverse engineering» by Sergey Kharyuk
«Introduction to malware reverse engineering» by Sergey Kharyuk«Introduction to malware reverse engineering» by Sergey Kharyuk
«Introduction to malware reverse engineering» by Sergey Kharyuk0xdec0de
 
Развитие технологий генерации эксплойтов на основе анализа бинарного кода
Развитие технологий генерации эксплойтов на основе анализа бинарного кодаРазвитие технологий генерации эксплойтов на основе анализа бинарного кода
Развитие технологий генерации эксплойтов на основе анализа бинарного кодаPositive Hack Days
 
Статический анализ: ошибки в медиаплеере и безглючная аська
Статический анализ: ошибки в медиаплеере и безглючная аська Статический анализ: ошибки в медиаплеере и безглючная аська
Статический анализ: ошибки в медиаплеере и безглючная аська Tatyanazaxarova
 
Статический анализ кода: борьба с удорожанием ошибок
Статический анализ кода: борьба с удорожанием ошибокСтатический анализ кода: борьба с удорожанием ошибок
Статический анализ кода: борьба с удорожанием ошибокAndrey Karpov
 
static - defcon russia 20
static - defcon russia 20static - defcon russia 20
static - defcon russia 20DefconRussia
 
WinDbg со товарищи
WinDbg со товарищиWinDbg со товарищи
WinDbg со товарищиCUSTIS
 
Про асинхронное сетевое программирование
Про асинхронное сетевое программированиеПро асинхронное сетевое программирование
Про асинхронное сетевое программированиеPython Meetup
 
Михаил Щербаков "WinDbg сотоварищи"
Михаил Щербаков "WinDbg сотоварищи"Михаил Щербаков "WinDbg сотоварищи"
Михаил Щербаков "WinDbg сотоварищи"Mikhail Shcherbakov
 
WinDbg в руках .NET разработчика
WinDbg в руках .NET разработчикаWinDbg в руках .NET разработчика
WinDbg в руках .NET разработчикаMikhail Shcherbakov
 
Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"Andrew Mayorov
 
Tech Talks @NSU: Как приручить дракона: введение в LLVM
Tech Talks @NSU: Как приручить дракона: введение в LLVMTech Talks @NSU: Как приручить дракона: введение в LLVM
Tech Talks @NSU: Как приручить дракона: введение в LLVMTech Talks @NSU
 
Как приручить дракона: введение в LLVM
Как приручить дракона: введение в LLVMКак приручить дракона: введение в LLVM
Как приручить дракона: введение в LLVMTech Talks @NSU
 
Xe4 launch мобильная разработка всеволод_леонов
Xe4 launch мобильная разработка всеволод_леоновXe4 launch мобильная разработка всеволод_леонов
Xe4 launch мобильная разработка всеволод_леоновЕкатерина Макарова
 
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...Mail.ru Group
 
Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)
Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)
Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)ScalaNsk
 
Практика эксплуатации уязвимостей в прикладных программах
Практика эксплуатации уязвимостей в прикладных программах Практика эксплуатации уязвимостей в прикладных программах
Практика эксплуатации уязвимостей в прикладных программах solertia
 

Similar a Введение в реверс-инжиниринг вредоносного ПО - Сергей Харюк (20)

«Introduction to malware reverse engineering» by Sergey Kharyuk
«Introduction to malware reverse engineering» by Sergey Kharyuk«Introduction to malware reverse engineering» by Sergey Kharyuk
«Introduction to malware reverse engineering» by Sergey Kharyuk
 
Развитие технологий генерации эксплойтов на основе анализа бинарного кода
Развитие технологий генерации эксплойтов на основе анализа бинарного кодаРазвитие технологий генерации эксплойтов на основе анализа бинарного кода
Развитие технологий генерации эксплойтов на основе анализа бинарного кода
 
About Python
About PythonAbout Python
About Python
 
Статический анализ: ошибки в медиаплеере и безглючная аська
Статический анализ: ошибки в медиаплеере и безглючная аська Статический анализ: ошибки в медиаплеере и безглючная аська
Статический анализ: ошибки в медиаплеере и безглючная аська
 
Статический анализ кода: борьба с удорожанием ошибок
Статический анализ кода: борьба с удорожанием ошибокСтатический анализ кода: борьба с удорожанием ошибок
Статический анализ кода: борьба с удорожанием ошибок
 
SAP hands on lab_ru
SAP hands on lab_ruSAP hands on lab_ru
SAP hands on lab_ru
 
static - defcon russia 20
static - defcon russia 20static - defcon russia 20
static - defcon russia 20
 
WinDbg со товарищи
WinDbg со товарищиWinDbg со товарищи
WinDbg со товарищи
 
Про асинхронное сетевое программирование
Про асинхронное сетевое программированиеПро асинхронное сетевое программирование
Про асинхронное сетевое программирование
 
Михаил Щербаков "WinDbg сотоварищи"
Михаил Щербаков "WinDbg сотоварищи"Михаил Щербаков "WinDbg сотоварищи"
Михаил Щербаков "WinDbg сотоварищи"
 
WinDbg в руках .NET разработчика
WinDbg в руках .NET разработчикаWinDbg в руках .NET разработчика
WinDbg в руках .NET разработчика
 
Transpile it.pdf
Transpile it.pdfTranspile it.pdf
Transpile it.pdf
 
Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"Alexei Sintsov - "Between error and vulerability - one step"
Alexei Sintsov - "Between error and vulerability - one step"
 
Tech Talks @NSU: Как приручить дракона: введение в LLVM
Tech Talks @NSU: Как приручить дракона: введение в LLVMTech Talks @NSU: Как приручить дракона: введение в LLVM
Tech Talks @NSU: Как приручить дракона: введение в LLVM
 
Как приручить дракона: введение в LLVM
Как приручить дракона: введение в LLVMКак приручить дракона: введение в LLVM
Как приручить дракона: введение в LLVM
 
Xe4 launch мобильная разработка всеволод_леонов
Xe4 launch мобильная разработка всеволод_леоновXe4 launch мобильная разработка всеволод_леонов
Xe4 launch мобильная разработка всеволод_леонов
 
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик И...
 
Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)
Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)
Павел Павлов - Scala для Java программистов (JavaDay Nsk 28.11.2013)
 
Спецификация WSGI (PEP-333)
Спецификация WSGI (PEP-333)Спецификация WSGI (PEP-333)
Спецификация WSGI (PEP-333)
 
Практика эксплуатации уязвимостей в прикладных программах
Практика эксплуатации уязвимостей в прикладных программах Практика эксплуатации уязвимостей в прикладных программах
Практика эксплуатации уязвимостей в прикладных программах
 

Más de HackIT Ukraine

"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен..."CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...HackIT Ukraine
 
"В поисках уязвимостей мобильных приложений", Алексей Голубев
"В поисках уязвимостей мобильных приложений", Алексей Голубев"В поисках уязвимостей мобильных приложений", Алексей Голубев
"В поисках уязвимостей мобильных приложений", Алексей ГолубевHackIT Ukraine
 
"Безопасность и надежность ПО в техногенном мире", Владимир Обризан
"Безопасность и надежность ПО в техногенном мире", Владимир Обризан"Безопасность и надежность ПО в техногенном мире", Владимир Обризан
"Безопасность и надежность ПО в техногенном мире", Владимир ОбризанHackIT Ukraine
 
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий КайдаловHackIT Ukraine
 
"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов
"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов
"Безопасные Биткоин-транзакции без специального оборудования", Алексей КаракуловHackIT Ukraine
 
"Growth hack в маркетинге и бизнесе", Максим Мирошниченко
"Growth hack в маркетинге и бизнесе", Максим Мирошниченко"Growth hack в маркетинге и бизнесе", Максим Мирошниченко
"Growth hack в маркетинге и бизнесе", Максим МирошниченкоHackIT Ukraine
 
"Как ловят хакеров в Украине", Дмитрий Гадомский
"Как ловят хакеров в Украине", Дмитрий Гадомский"Как ловят хакеров в Украине", Дмитрий Гадомский
"Как ловят хакеров в Украине", Дмитрий ГадомскийHackIT Ukraine
 
"Security Requirements Engineering", Oleksii Baranovskyi
"Security Requirements Engineering", Oleksii Baranovskyi"Security Requirements Engineering", Oleksii Baranovskyi
"Security Requirements Engineering", Oleksii BaranovskyiHackIT Ukraine
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
 
"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin
"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin
"Preventing Loss of Personal Data on a Mobile Network", Oleksii LukinHackIT Ukraine
 
"How to make money with Hacken?", Dmytro Budorin
"How to make money with Hacken?", Dmytro Budorin"How to make money with Hacken?", Dmytro Budorin
"How to make money with Hacken?", Dmytro BudorinHackIT Ukraine
 
"Using cryptolockers as a cyber weapon", Alexander Adamov
"Using cryptolockers as a cyber weapon", Alexander Adamov"Using cryptolockers as a cyber weapon", Alexander Adamov
"Using cryptolockers as a cyber weapon", Alexander AdamovHackIT Ukraine
 
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde..."Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...HackIT Ukraine
 
"Bypassing two factor authentication", Shahmeer Amir
"Bypassing two factor authentication", Shahmeer Amir"Bypassing two factor authentication", Shahmeer Amir
"Bypassing two factor authentication", Shahmeer AmirHackIT Ukraine
 
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ..."Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...HackIT Ukraine
 
"Introduction to Bug Hunting", Yasser Ali
"Introduction to Bug Hunting", Yasser Ali"Introduction to Bug Hunting", Yasser Ali
"Introduction to Bug Hunting", Yasser AliHackIT Ukraine
 
"Hack it. Found it. Sell it. How hackers can be successful in the business wo...
"Hack it. Found it. Sell it. How hackers can be successful in the business wo..."Hack it. Found it. Sell it. How hackers can be successful in the business wo...
"Hack it. Found it. Sell it. How hackers can be successful in the business wo...HackIT Ukraine
 
"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy
"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy
"15 Technique to Exploit File Upload Pages", Ebrahim HegazyHackIT Ukraine
 
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...HackIT Ukraine
 
Владимир Махитко - Automotive security. New challenges
Владимир Махитко - Automotive security. New challengesВладимир Махитко - Automotive security. New challenges
Владимир Махитко - Automotive security. New challengesHackIT Ukraine
 

Más de HackIT Ukraine (20)

"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен..."CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
 
"В поисках уязвимостей мобильных приложений", Алексей Голубев
"В поисках уязвимостей мобильных приложений", Алексей Голубев"В поисках уязвимостей мобильных приложений", Алексей Голубев
"В поисках уязвимостей мобильных приложений", Алексей Голубев
 
"Безопасность и надежность ПО в техногенном мире", Владимир Обризан
"Безопасность и надежность ПО в техногенном мире", Владимир Обризан"Безопасность и надежность ПО в техногенном мире", Владимир Обризан
"Безопасность и надежность ПО в техногенном мире", Владимир Обризан
 
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов
 
"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов
"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов
"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов
 
"Growth hack в маркетинге и бизнесе", Максим Мирошниченко
"Growth hack в маркетинге и бизнесе", Максим Мирошниченко"Growth hack в маркетинге и бизнесе", Максим Мирошниченко
"Growth hack в маркетинге и бизнесе", Максим Мирошниченко
 
"Как ловят хакеров в Украине", Дмитрий Гадомский
"Как ловят хакеров в Украине", Дмитрий Гадомский"Как ловят хакеров в Украине", Дмитрий Гадомский
"Как ловят хакеров в Украине", Дмитрий Гадомский
 
"Security Requirements Engineering", Oleksii Baranovskyi
"Security Requirements Engineering", Oleksii Baranovskyi"Security Requirements Engineering", Oleksii Baranovskyi
"Security Requirements Engineering", Oleksii Baranovskyi
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук
 
"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin
"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin
"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin
 
"How to make money with Hacken?", Dmytro Budorin
"How to make money with Hacken?", Dmytro Budorin"How to make money with Hacken?", Dmytro Budorin
"How to make money with Hacken?", Dmytro Budorin
 
"Using cryptolockers as a cyber weapon", Alexander Adamov
"Using cryptolockers as a cyber weapon", Alexander Adamov"Using cryptolockers as a cyber weapon", Alexander Adamov
"Using cryptolockers as a cyber weapon", Alexander Adamov
 
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde..."Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...
 
"Bypassing two factor authentication", Shahmeer Amir
"Bypassing two factor authentication", Shahmeer Amir"Bypassing two factor authentication", Shahmeer Amir
"Bypassing two factor authentication", Shahmeer Amir
 
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ..."Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
 
"Introduction to Bug Hunting", Yasser Ali
"Introduction to Bug Hunting", Yasser Ali"Introduction to Bug Hunting", Yasser Ali
"Introduction to Bug Hunting", Yasser Ali
 
"Hack it. Found it. Sell it. How hackers can be successful in the business wo...
"Hack it. Found it. Sell it. How hackers can be successful in the business wo..."Hack it. Found it. Sell it. How hackers can be successful in the business wo...
"Hack it. Found it. Sell it. How hackers can be successful in the business wo...
 
"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy
"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy
"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy
 
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...
 
Владимир Махитко - Automotive security. New challenges
Владимир Махитко - Automotive security. New challengesВладимир Махитко - Automotive security. New challenges
Владимир Махитко - Automotive security. New challenges
 

Введение в реверс-инжиниринг вредоносного ПО - Сергей Харюк

  • 1. Сергей Харюк aka ximera Introduction into malware analysis
  • 2. О себе  Адми н и с тратор фо рума reverse4 yo u . org  Ви рус н ый ан али т ик в Zillya !  Кап и т ан C T F - к о манды R 0 - C rew
  • 4. Этапы анализа  Ст ат и чески й ан али з  Баз овый  Углублен н ый  Д и н ами чески й ан али з  Соз дан и е си гн ат ур
  • 5. Базовый статический анализ  О пределен ие т и па файла  О пределен ие компи лят ора /линкера  О пределен ие з ащи т ы н а файле  Анали з служ ебной и нформаци и ( заголовки , секци и )  Ан али з т абли цы и мпорт а /экспорт а  Пои ск и ан али з ст рок
  • 6. Инструменты базового анализа  Detect it Easy  PE Studio  PE Tools  CF F Explor er
  • 7. Углубленный статический анализ  Ан али з и сполн яемого кода в ди з ассемблере /декомпилят оре  Пои ск з ащи т ных механ и з мов ( анти вм /антиэмуль /шифрование кода)  Пои ск вредон осн ого кода  О пределен ие алгори т ма работ ы
  • 9. Расшифровка блока данных .text:00401526 mov edi, dword_40504C ; помещаем в EDI размер расшифровываемого блока .text:0040152C mov esi, off_405050 ; помещаем в ESI адрес начала блока расшифроки .text:00401532 xor ecx, ecx ; обнуляем счетки .text:00401534 test edi, edi ; если EDI == 0 .text:00401536 jle short loc_40154E ; выходим из цикла .text:00401538 loc_401538: ; CODE XREF: .text:0040154Cj .text:00401538 mov eax, ecx ; помещаем в eax значение счетчика .text:0040153A push 14h ; помещаем в стек значение 20 .text:0040153C cdq ; заполняем EDX значением старшего байта регистра EAX .text:0040153D pop ebx ; извлекаем из стека значение 20 в EBX .text:0040153E idiv ebx ; помещаем в EBX результат EBX%EAX .text:00401540 mov al, [edx+405038h] ; извлекаем в AL ключ расшифровки .text:00401546 xor [ecx+esi], al ; расшифровываем байт .text:00401549 inc ecx ; увеличиваем счетчик .text:0040154A cmp ecx, edi ; если счетчик меньше размера блока .text:0040154C jl short loc_401538 ; продолжаем цикл
  • 10. Тот же алгоритм на Python def xor_decrypt_key_array(effective_address, keys, size): counter = 0 key_counter = 0 while counter < size : key_counter = counter % 20 patchbyte( effective_address + counter, byte( effective_address + counter ) ^ keys [ key_counter ] ) counter += 1
  • 11. .text:00401511 call sub_4018A6 .text:00401516 nop .text:00401517 nop .text:00401518 nop .text:00401519 nop .text:0040151A call sub_4018CC .text:00401511 call sub_4018A6 .text:00401516 adc edx, [ebx] .text:00401518 adc edx, [ebx] .text:0040151A call sub_4018CC Примеры зашифрованных участков кода З аши фрованный код О ри ги нальны й код
  • 12. Динамический анализ  Исследован и е в песочн и це  Ан али з файловой си ст емы  Ан али з реест ра  Анали з сетевого трафи ка  Исследован и е под от ладчи ком  Пошаговое и сполн ен ие  Из учен и е прои сходящего
  • 14. Инструменты динамического анализа  Песочн и цы( Sandboxes )  cuckoo( malwr.com )  Anubis  Har dwar e sandboxes  Внутренни е разработки  О т ладчики  O llyDbg  X64dbg  WinDbg
  • 15. Создание сигнатур  Пои ск и опи сан и е з акон омерност ей  Проверка выявленных закономерностей  Пои ск дополн ит ельных факт оров
  • 16. Инструменты для поиска сигнатур  010 Editor  WinHex  Вн ут рен н и е раз работ ки
  • 17. Привет для Бацьки Delphi - the best. F uck off all the r est. Neshta 1.0 Made in Belar us . Пры вiт ан н е усiм цiкавым беларус_кiм дз яучат ам . Аляксандр Рыгоравiч , вам таксама :) Восен ь - кепская пара... Алiварыя - лепшае пiва ! Best r egar ds 2 Tommy Salo. [Nov - 2005] your s [ Dziadulja Apanas ]
  • 18. Литература для изучения  RE for beginner s - http://beginner s.re /  Pr actical Malwar e Analysis - http://goo.gl/WwR XmS  Malwar e Analyst's Cookbook - http:// goo.gl/tq53nr  The IDA Pr o Book - http:// goo.gl/MP45mH  Pr actical Rever se Engineer ing - http://goo.gl/Bi7r lS  Secr ets of Rever se Engineer ing - http:// goo.gl/Z Kr m7a  G r ay Hat Python - https:// goo.gl/ec5zvn  Rootkits and Bootkits - https:// goo.gl/SUcLmm
  • 19. Ресурсы для изучения  R 0- Cr ew - >Би бли отек a - https:// goo.gl/F W2VCd  http://www.opensecur itytr aining.info /  wasm.r u  exelab.r u  Awesome Malwar e Analysis - https:// goo.gl/iLjHtT
  • 21. Контакты Social:  twitter.com /ximer us  fb.com /ximer us  linkedin.com /ximer us Jabber /e - mail:  ximer a@r ever se4you.or g Site:  r ever se4you.or g