Tuesday, October 17th, 2017

Вредоносное программное обеспечение, позволяющее восстановить структурную схему по исходным данным (Часть 1)

Published on Февраль 2, 2009 by   ·   Комментариев нет

Для многих из нас мир восстановления структурной схемы по исходным данным является достаточно экзотическим. Многие люди даже не знают, как к нему подойти. В этой статье мы рассмотрим, как ее можно использовать в быстро развивающейся области компьютерной безопасности.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Восстановление структурной схемы по исходным данным

Я помню, как много лет назад впервые услышал термин reverse engineering (восстановление структурной схемы по исходным данным). В то время эти слова ничего для меня не значили. После того, как мои знания о компьютерной безопасности стали увеличиваться от изучения сетевых протоколов до обнаружения атак и безопасности web приложений, я решил заново обратиться к этому термину. После того, как проработал в области компьютерной безопасности несколько лет, я начал понимать, чем возможность восстановления структурной схемы по исходным данным была так полезна. Более того, знания, необходимые для выполнения такой задачи, у меня к этому времени были гораздо богаче. Понимание того, что необходимо выполнить – это лишь часть задачи. Другая часть заключается в простом осознании подхода к выполнению задачи.

Перед тем, как мы обсудим, какие умения и знания необходимы для осуществления подобной операции на практике, необходимо объяснить, почему вам, как системному администратору или специалисту по безопасности, так важно это знать. Это практически неизбежно, что ваша сеть станет предметом атак. Кроме всего прочего, существует сотни, если не тысячи хакеров с различными уровнями знаний, которые сканируют, а затем атакуют вашу сеть. Это лишь вопрос времени. Там, где злоумышленнику достаточно быть удачливым лишь раз, вам надо быть на самой вершине каждый день.

Первый из многих этапов

Первое, что вы захотите предпринять после атаки – это понять то, что она в себе содержит, а затем очистить компьютер, подвергнувшийся атаке. После этого я попытаюсь определить, какую уязвимость использовала данная атака. Была ли это уязвимость типа 0 day exploit, или же вы просто забыли установить какое-то обновление на определенный компьютер. Если вы просто забыли установить обновление, то восстановите компьютера, а затем установите эти обновления! В любом случае вы должны попытаться получить копию программы, которая использовалась для атаки, неважно будь это исходный или скомпилированный код. Я слышу, как вы говорите: «Это практически невозможно сделать!». Вы будете правы, заявляя это, однако, достаточно часто вы можете найти этот вирус с помощью творческого подхода к поиску. Существует однако достаточно неплохой способ поиска вредоносного программного обеспечения, который мы рассмотрим в рамках этой статьи. Он был создан и выложен очень умным человеком тут HDM of Metasploit fame.

Вооруженные этой информацией мы продолжим далее и взглянем на небольшую часть вредоносного программного обеспечения. Вы должны понимать, что вам необходимо решить самим стоит ли на свой риск загрузить и изучить вредоносное программное обеспечение. Я ни в коей степени не в ответе за то, что может случиться с вашим компьютером. Используйте стандартные практики, когда имеете дело с примерами вредоносного программного обеспечения. Либо работайте с образом VMware или используйте специальный компьютер, который отключен от вашей сети. Это позволит вам изучить вредоносное программное обеспечение, не боясь заражения им вашей домашней или корпоративной сети.

Давайте воспользуемся некоторым вредоносным программным обеспечением!

Не забывая про предупреждение, сделанное выше относительно загрузки и использования примеров вредоносного программного обеспечения, давайте загрузим его копию. Т.к. на сайте FrSirt больше не размешается вредоносный код, то мы должны поискать другое хранилище. Существует множество других сайтов, на которых размещается вредоносный код, например, Securiteam. В зависимости от вашего уровня знаний, вы можете не знать, как скомпилировать исходные тексты в исполняемый PE код. Но если быть честным, то если вы не знаете, как скомпилировать исходный код, то эта статья не для вас.

Эта часть статьи была в основном посвящена восстановлению структурной схемы по исходному коду. Была очень важная причина назвать ее именно так. Reverse engineering – это не слишком простая тема. Различные читатели обладают различным уровнем знаний. По отношению к вам, читателям, для того чтобы вы могли получить максимум из этой статьи, очень важно, чтобы вы обладали начальными знаниями по поднятой теме. Аналогично тому, как я сказал выше, если вы не знаете, как компилировать исходные тексты, то это статья будет очень сложной для вас. Постарайтесь читать внимательно, и если что-то не ясно, то необходимо изучить некоторые вещи.

Что случиться с загруженным вредоносным программным обеспечением?!

Да, да. Я помню, что я сказал, что мы должны загрузить какое-нибудь вредоносное программное обеспечение с сайта Metasploit website.

  1. Первое и самое главное, вы должны обладать некоторыми навыками по программированию, или по крайней мере уметь читать и понимать исходные коды. Это особенно важно, если вы будете использовать средства обратного преобразования кода (disassembler), такой как Ollydbg или IDA Pro. Только в этом случае вы сможете ими воспользоваться. Самое лучшее средство по обратному преобразованию исполняемого кода, это то, которое я использую в этой статье. Оно не очень дорого стоит и достаточно функционально.
  2. Необходимо иметь представление о методологии восстановления структурной схемы по исходному коду. Это включает в себя статическую и динамическую части.
  3. Необходимо знать, какие средства нужные для использования в процессе динамической и статической фазы.

Хотя вышеприведенные три пункта для некоторых из вас могут звучать устрашающе, поверьте мне, это не так ужасно. Все, что необходимо сделать, это собрать необходимую информацию, инструменты и правильно собрать тестовый стенд для проведения reverse engineering (восстановления структурной схемы по исходным данным). На этом я считаю первую часть этой статьи закрытой. Хотя в этой статье мы практически ничего не сделали, мы наверстаем это в других частях. Очень важно выполнить всю подготовительную работу перед тем, как приступить непосредственно к делу. Время, потраченное на подготовку, окупиться далее. Надеюсь, что мы скоро встретимся во второй части этой статьи. В ней мы наконец загрузим пример вредоносного программного обеспечения и начнем reverse engineering.

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]