Архив за ‘Статьи’ Рубрика

Обход аппаратной реализации DEP в Windows

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Обход аппаратной реализации DEP в Windows отключены

Одним из самых значительных изменений, представленных Microsoft в Windows XP Service Pack 2 и Windows 2003 Server Service Pack 1, было поддержка новой возможности, названной Data Execution Prevention (DEP). Этот механизм позволяет делать именно то, что подразумевает его название: предотвращать выполнение кода в областях памяти не предназначенных для выполнения. Такая технология очень важна для предотвращения использования многих уязвимостей в программном обеспечении, так как большинство эксплойтов основано на хранении произвольного кода в областях памяти, не предназначенных для выполнения, например в стеке или куче.

Подробнее >>

Антиотладочные трюки

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Антиотладочные трюки отключены

Главная цель этой работы состоит в том, чтобы показать методы защиты от исследования,
используемые упаковщиками/протекторами, а также обсудить методы и доступные инструменты,
которые могут использоваться, чтобы обойти или снять это защиты. Эта информация позволит
исследователям, особенно, malware-аналитикам идентифицировать эти методы используемые в
упакованном вредоносном программном коде, и затем обойти их и приступить к обычному анализу.
Представленная информация может также использоваться разработчиками, которые планируют
усилить защиту в их программном обеспечении и запретить реверсерам анализировать их
защищенный код. Хотя, конечно, квалифицированного, знающего и решительно настроенного
реверсера вряд ли что-то остановит.

В области обратной инженерии упаковщики — одна из самых интересных загадок. В процессе
решения этих головоломок реверсер получает ценные знания о куче разных вещей, таких как
внутренности операционной системы, различные хитрые уловки, инструменты и методы
исследования.

Упаковщики (термин, используемый в этой работе и для упаковщиков и для протекторов),
создаются, чтобы защитить исполняемые файлы от анализа. Они используются законно
коммерческими приложениями, чтобы предотвратить раскрытие кода, его изменение и пиратство. К
сожалению, malware-программы также используют упаковщики по тем же самым причинам, но в
злонамеренных целях.

Из-за большого количества упакованной малвари, исследователи и вирусные аналитики начали
осваивать разные трюки, чтобы распаковывать образцы для анализа. Однако, поскольку время идет,
новые методы защиты от анализа постоянно добавляются в упаковщики, чтобы препятствовать
анализу и распаковке. И этот круг продолжается — придумываются и развиваются новые методы
защиты, в то время как реверсеры с другой стороны баррикад придумывают способы и инструменты,
чтобы обойти их.

Подробнее >>

Теги:

Создание собственного упаковщика исполняемых файлов

автор | 20 Декабрь, 2008
рубрики Статьи | Комментарии к записи Создание собственного упаковщика исполняемых файлов отключены

Незаконченная, но эксклюзивная статья про принципы создания простых пакеров. Основы для начинающего исследователя.

Подробнее >>

Автоматическая распаковка: реальность или фантастика

автор | 20 Декабрь, 2008
рубрики Статьи | Комментарии к записи Автоматическая распаковка: реальность или фантастика отключены

В современном мире программного обеспечения давно сложилась ситуация, когда практически любое приложение, динамическая библиотека, скринсейвер или даже драйвер оказывается сжатым (или упакованным), что накладывает определенные ограничения на использование. Например, если простой пользователь программы захочет ее русифицировать или дизассемблировать, чтобы разобраться в каких-либо отдельных принципах ее функционирования, ему понадобиться в большинстве случаев ее распаковать.

Подробнее >>

Страница 2 из 212