Кстати, именно сейчас Крис на первой страничке nezumi-lab.org показывает как по 5 строкам дизассемблированного кода определил ФИО + домашний адрес автора руткита.
Зачем вообще идентифицировать ноутбуки по цвету пакета, если на задней стороне всегда есть номер?
Если зайти на hex-rays.com , то там с десяток скриншотов IDA. И на всех видны восстановленные имена функций из системных библиотек. А именно о них первоначально шла речь!
Да и локальные названия отнють не всегда теряются при компиляции. Надо указать конкретно о каком языке программирования идет речь, название компилятора, его версия, ключи компиляции. Возможно, файл был ошибочно скомпилирован в дебаг. А может это вообще OpenCL 8-)
Местоположение 99,9% функций легко определить без запуска программы.
Да и вообще, определить руткит это или не руткин часто можно по 10-100 байтам кода. Что любит демонстрировать Касперски.
Мы видели на суде, что там файлы *.cpp и *.h. Восстанавливать функции системных библиотек не нужно. Они и так в разделе импорта файла есть (обычно). А речь шла именно о внутренностях программы. Дебаг для cpp кладётся в файл pdb, которого не было на предоставленном в ЛК диске с ехе. Так что всё предельно ясно и понятно.
Насчёт 99% случаев — использование виртуальных классов не даст 99% определить точку входа.
Виртуальные функции скрывают точку входа от IDA, но не от хакера. В типичном случае адрес просто хранится в виртуальной таблице (список смещений от this до начала функции), которая в явном виде присутствует в коде. Дизассемблирование реально усложняется только при множественных наследованиях, когда таблицы виртуальных функций становятся нелинейными.
Но все это не нужно, если есть *.cpp и *.h — достаточно компильнуть кусок вредоносного кода и убедиться что он присутствует в программе.
Номер тут не причём. Закон требует чтобы вещ доки были опечатаны и переданы эксперту "как есть". Если менялись пакеты — значит вещ доки вскрывали и могли делать с ними всё что угодно.
Более того, на суде мы установили что ноутбук включался аж 6 раз по пути следования из Следствия в Лабораторию Касперского. Как бы только это одно не то что ставит экспертизу под сомнение, оно делает её незаконной.
Почему на анонимно присланном скриншоте у всех трех отметившихся "членов" (tank, fraer и simon) количество сообщений — одинаковое (по 458)?? Скрин — липа! :)
Это же вернейший способ определить кидалово в Интернете. Мошенник вбрасывает предложение на специально созданный под это сайт, и под подставными именами нахваливает свой "продукт", завлекая таким образом лохов. Стренно, что такой скрин тут кто-то принимает всерьёз. Ведь именно таким образом действуют торгаши порнухой или какими то "кодами доступа", а то и вовсе втюхивают Ускоритель Интернета.
Комментарии
а не с конца, а то ни черта не понятно, кроме того, что подменили ноуты и пригласили липовых экспертов?
Если зайти на hex-rays.com , то там с десяток скриншотов IDA. И на всех видны восстановленные имена функций из системных библиотек. А именно о них первоначально шла речь!
Да и локальные названия отнють не всегда теряются при компиляции. Надо указать конкретно о каком языке программирования идет речь, название компилятора, его версия, ключи компиляции. Возможно, файл был ошибочно скомпилирован в дебаг. А может это вообще OpenCL 8-)
Местоположение 99,9% функций легко определить без запуска программы.
Да и вообще, определить руткит это или не руткин часто можно по 10-100 байтам кода. Что любит демонстрировать Касперски.
Насчёт 99% случаев — использование виртуальных классов не даст 99% определить точку входа.
"Тебя посодют — а ты не пиши вирусы"
Но все это не нужно, если есть *.cpp и *.h — достаточно компильнуть кусок вредоносного кода и убедиться что он присутствует в программе.
Более того, на суде мы установили что ноутбук включался аж 6 раз по пути следования из Следствия в Лабораторию Касперского. Как бы только это одно не то что ставит экспертизу под сомнение, оно делает её незаконной.
нет законов
нет доказательств
все неправда
как хочет сильный так и будет.
Добро пожаловать в дикое средневековье.