Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Оффтоп —› Наезд на реверсеров и крэкеров
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 6 февраля 2013 18:04 · Поправил: reversecode New!
Цитата · Личное сообщение · #1

http://habrahabr.ru/post/168501/
где этот горе автор? помять ему бока
плевать на KS, но наезд на реверсеров не потреплю

статью на хабре закрыли)

Gideon Vi
вставил линк с кеша
--> Link <--

не работает

список всех ресурсов где было обсуждение
--> Link <--

понравилось
--> Link <--

| Сообщение посчитали полезным: Abraham



Ранг: 222.3 (наставник)
Статус: Участник

Создано: 6 февраля 2013 19:44 · Поправил: HandMill New!
Цитата · Личное сообщение · #2

у автора есть жж http://dmitryart1985.livejournal.com/
add:
Походу обвиняемый ещё тот омич полуебок, читаем новость: http://regnum.ru/news/accidents/1621589.html
ключевой является фраза "Дмитрий Артимович написал явку с повинной вскоре после задержания."
коль руки замарал - пытается обосрать квалификацию специалистов касперского. Юристы каспера походу полные идиоты(в этом он прав) которые не в состоянии участвовать в реальных делах, вместо этого послали аналитика который раскопал истину, типа крайний нашелся.


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 6 февраля 2013 20:16 New!
Цитата · Личное сообщение · #3

не ну это понятно,
но автор(dmitryart1985) статьи высмеивает
типа "невозможно восстановить из бинарника исходный код",
и невозможно сличить/оценить с какого исходного кода собран бинарник ))
ну просто лол.

Ранг: 62.8 (постоянный)
Статус: Участник

Создано: 6 февраля 2013 21:22 · Поправил: Rockphorr New!
Цитата · Личное сообщение · #4

reversecode
диалог спецов разного уровня красноречия
спецу из ЛК явно не хватает научнопопулярного стиля изложения от чего он плывет

ему надо было говорить что такой то кусок исходника соответствует такому то куску бинаря на таком то уровне, плюс совпадение специфичных констант повышает вероятность и указывает на "подчерк" кодера

имхо в одном моменте ему нужно было говорить о идентичности до косметических инструкций генерируемых различными компилятрами


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 6 февраля 2013 21:28 · Поправил: reversecode New!
Цитата · Личное сообщение · #5

да вроде всего ему там хватает, нормально отбивается парнишка))
а вот наезды автора статьи на хабре, мол все что сделал спец из ЛК невозможно - просто лол))

тогда нужно оффициально разрешать реверс инжениринг в рф, раз автор утверждает что это не возможно
и тогда автора статьи прибьют другие люди)))


Ранг: 462.8 (мудрец)
Статус: Участник
Only One!

Создано: 6 февраля 2013 21:38 New!
Цитата · Личное сообщение · #6

Очередная мерзость... Всех этих экспертов на кол давно пора.. Но сука.. еще дышат..

| Сообщение посчитали полезным: Abraham


Ранг: 62.8 (постоянный)
Статус: Участник

Создано: 6 февраля 2013 21:42 New!
Цитата · Личное сообщение · #7

reversecode пишет:
тогда нужно оффициально разрешать реверс инжениринг в рф, раз автор утверждает что это не возможно
и тогда автора статьи прибьют другие люди)))


ды он разрешен -- не разрешено использование его результатов в коммерческих целях


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 6 февраля 2013 21:59 · Поправил: reversecode New!
Цитата · Личное сообщение · #8

Rockphorr это как ? типа как автомат калашникова? купить может кто угодно, даже младелец,
а хранить и использовать нельзя?


Ранг: 106.9 (ветеран)
Статус: Участник

Создано: 6 февраля 2013 22:10 New!
Цитата · Личное сообщение · #9

reversecode пишет:
статью на хабре закрыли)

Но гугл то всё помнит))
reversecode пишет:
а вот наезды автора статьи на хабре, мол все что сделал спец из ЛК невозможно - просто лол))

Статью прочитал, мне кажется наезд был по существу, ибо автор прицепился к названия функций и переменным, а специалист из ЛК не мог внятно ответить в чем конкретно была схожесть. Схожесть в функционале не доказывает того, что найденный бинарник является результатом компиляции сорцов определенного ботнета. Тоже самое, если сравнивать бинарь peid с сорцами die и говорить что это один продукт.
Вот пример его наезда:
Потому что технически невозможно восстановить исполняемый файл назад в исходный код до такого уровня, что там появятся изначальные названия функций и переменных.
Камней в сторону реверсеров что-то я не увидел...

| Сообщение посчитали полезным: Nachalo



Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 6 февраля 2013 22:22 · Поправил: reversecode New!
Цитата · Личное сообщение · #10

при таком подходе,
лицензии аля GNU и им подобные можно сжигать?
ведь достаточно переименовать функции и имена переменными и это будет - другая программа ?
- так получается со слов судьи и автора статьи на хабре

дословно не помню,но приблизительно так
"- експерт провел оценку и сказал что эта программа собрана с исходных текстов найденых на ПК"

и тут начинаются высмеивания експерта, со стороны судьи и притявкивание автора топика на хабре,
что мол даже спец разбырающиеся в С++ и шаблоно-мета программированию не смогут разобрать уже скомпилированый код что бы сказать с каких исходных текстов он был собран если такоевые имеются,
потому что отсутствует название функций и переменных

ну лол)) как же я иногда template то восстанавливаю?


Ранг: 106.9 (ветеран)
Статус: Участник

Создано: 6 февраля 2013 22:46 New!
Цитата · Личное сообщение · #11

reversecode, ни кто ж не говорит, что только имена доказывают идентичность, скорее имена вообще ни чего не доказывают. Автор статьи будто тролил этими именами, а специалист не мог нормально ответить, что являлось определяющим в его заключении. Если бы он н-р сказал, мол вот в программах было найдено полное соответствие протокола обмена данными, структуры, идентичны множество алгоритмов, тут уже не отвертишься...

Ранг: 309.8 (мудрец)
Статус: Участник

Создано: 7 февраля 2013 11:09 · Поправил: SLV New!
Цитата · Личное сообщение · #12

ТС долбоёб неумеющий читать, в жж написано про то что все экспертизы проплачивались Гусевым и якобы эксперт восстановил по бинарю ИМЕНА ФУНКЦИЙ, по которым и сравнивал код. Дело не в реверсиинге, а в том что если в рашке кого-то хотят закрыть, то вопрос упирается в сумму.


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 7 февраля 2013 13:34 New!
Цитата · Личное сообщение · #13

ну так никто не спорит о том что если захотят то посадЮт
но смысл выставлять експерта дураком?
если автор жж долбоеб это его проблемы,
что такое имена функций распознанные flirt-ом, вообще мало кто понимает

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 7 февраля 2013 14:52 New!
Цитата · Личное сообщение · #14

Вся эта история попахивает говнецом, достоверной информации нет и быть не может, каждый врет в свою пользу. Не стоит копаться в грязном белье и гадать как там было.
А что правосудия и справедливости нет, уже не должно удивлять, это Россия, ёпта. И ыксперты могут написать любую херню, не только в компьютерной экспертизе, и им ничо за это не будет. Привыкайте.

| Сообщение посчитали полезным: 4kusNick



Ранг: 676.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 7 февраля 2013 15:04 · Поправил: ARCHANGEL New!
Цитата · Личное сообщение · #15

Почитал я тут на досуге отрывки из высказываний эксперта-аналитика. Возьмёи, к примеру, вот это:

Возвращаясь к началу повествования поясню, что интерактивный дизассемблер Ida Pro – это специальная программа, которая предназначена для того, чтобы пускать нас внутрь другой программы. То есть раскрывать её. Частично расшифровывать её. Частично раскодировать её. Декодировать, дизассемблировать. То есть тот текст, который я получаю в этой программе, он в принципе уже гораздо больше, чем сама программа. Часть функций и имён она автоматически восстанавливает. Я убежден, что присутствующие в этом зале знакомы с этой программой. Часть восстанавливает автоматически, часть автоматически не восстанавливает, но даёт инструмент для своего пользователя, которым он может воспользоваться, написать дополнительную программу обработки и также часть функций восстановить, не функций, а имен текста. И дополнительным программным продуктом к этому программному продукту, то есть дополнительный продукт к Ida Pro, набор библиотек, который позволяет попытаться восстановить частично даже исходный код к программе, то есть мы можем там видеть куски порой, что в исходных кодах было.

Ну ёлки-палки, что он тут возил-рассусоливал, а в результате ничего грамтного с точки зрения технического специалиста не сказал.

Давайте вернёмся к истокам. Я не понял, почему тема называется "наезд на реверсеров"? По-моему, на реверсов никто не наезжает. Наезжают на одного конкретного аналитика ЛК, господина Ануфриева. Товарищ выдал экспертное заключение, на которое можно смотреть с двух разных точек зрения. Первая - техническая. Т.е. технический специалист должен, исходя из заключения, определить, как именно проводился анализ найденной угрозы, и последующая идентификация соответсвия скомпилированной угрозы имеющимся на компьютере исходным текстам. В речи специалиста я не увидел ни одного упоминания о методах выявления такого соответствия. Есть только пиар IDA Pro.

Я вполне допускаю, что обвиняемый может быть виновным. Но это нужно грамотно доказать. Позиция технического эксперта вида: "Я всё знаю, всё могу, всё определить и уверен, что тот-то и тот-то виновен" не применима.

Там всё сосут тему имен функций и переменных. Аналитик должен был сразу согласиться, что имён в ехе-шнике нет, вместо этого указать на компилятор, использовавшийся при сборке ехе, и на то, что исходный код написан так, что одельные его модули являются правильными программами с точки зрения этого компилятора. Далее указать, что в результате использования IDA Pro был восстановлен псевдокод некоторых функций, и найдено их соответствие в исходниках. Далее дать заключение, что в связи с высокой степенью наличия таких соответствий можно сделать вывод о том, что ехе - скомпиленный исходник. Потом указать, что возможно использование различных опций компилятора, различных компиляторов, в конце концов, поэтому нет смысла пытаться скомпилировать исходник, с ехе он байт в байт точно не свопадёт. Я, конечно, не самый грамотный в области аверства, но ЛК даже я смог бы грамотнее выступить в суде, чтоб лаборатория потом за меня не краснела. Ну стыдно же, право.

Конечно, я так же допускаю, что товарищ Артимович мог в своём блоге написать неправду, и аналитик ЛК не говорил ничего подобного, но как это проверить?

С точки зрения юриспруденции, аналитик - представитель сертифицированной экспертной организации, которая может однозначно установить факт причастности данного материала на ноутбуки к преступлению. Тогда одного вердикта аналитика да/нет вполне достаточно, и не имеет смысла раздувать дебаты, типа, что он делал, как он делал, если этого сообщать он не обязан. В любом случае, если аналитик нёс такую чушь, ЛК должно быть стыдно.


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 7 февраля 2013 15:22 New!
Цитата · Личное сообщение · #16

да плевать кого там посадили или кого обвиняют
ARCHANGEL пишет:
Я не понял, почему тема называется "наезд на реверсеров"?

в теме были - если ты не заметил,
но диагонально в статье на хабре прослеживается высмеивания ананалитика с ЛК,
типа все что он сделал это чушь и такого вообще нельзя сделать

так же смешной момент когда там же на хабре автор показывает какие хорошие специалисты ESET которые определили что модуль вообще ничего не делает

аналитик с ЛК держался как мог в конце статьи хабре цитатой он даже ответил судье более понятными филосовскими терминами
ясное дело судья не специалист в реверсе и поэтому ему такие ответы не устраивали,
в том что ЛК не отправила юриста - это проблемы ЛК, они не интересны


Ранг: 676.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 7 февраля 2013 15:33 · Поправил: ARCHANGEL New!
Цитата · Личное сообщение · #17

reversecode
Я вас что-то вообще не пойму - к чему вы клоните. Пост с хабры я не читал, т.к. доступ к публикации закрыт. А высмеивание аналитика с ЛК прослеживается в блоге очень даже не диагонально. И я не заметил, чтобы автор писал, будто:
типа все что он сделал это чушь и такого вообще нельзя сделать
Он акцентировал лишь на том, что аналитик никак не описывает, что же он сделал (в деле нет детального анализа ехе файла), и не аргументирует, как он это сделал. В то же время реверсеры с ESET установили, что это - дроппер.

Если сейчас у меня конфискуют ноут, то тоже найдут с десяток ехе, которые можно считать малварью. Но я - не автор этой малвари, и мне было бы крайне неприятно, если бы какой-то аналитик это авторство мне начал приписывать, говоря, что нашёл у меня некий код и определил, что этот сорс и есть малварь. Причём без какой-либо доказательной базы.

Если вам, reversecode, неинтересно, за что и кого хотят посадить, почему ЛК не отправила юриста, то что ж вам во всей этой истории интересно? Я нигде в блоге не видел фраз вида: "Восстановить по скомпилированному файлу исходные тексты, которые бы, компилируясь, на выходе давали идентичный по функционалу файл, НЕЛЬЗЯ". Может, вы выдели?


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 7 февраля 2013 15:45 · Поправил: reversecode New!
Цитата · Личное сообщение · #18

а я жж не читал,но успел прочитать статью на хабре
и там это хихиканье
ARCHANGEL пишет:
"Восстановить по скомпилированному файлу исходные тексты, которые бы, компилируясь, на выходе давали идентичный по функционалу файл, НЕЛЬЗЯ"

не дословно, но увидел

насколько я помню статью на хабре,
там и не говорилось что сорс - малварь,
говорили о том что бинарник имел в себе части с сорсов которые были найдены на пк,
не беря во внимания юр моменты, не вижу ничего невозможного в том что бы установить такую подлинность бинарник имел в себе части с сорсов
но автор статьи и это высмеивает, типа это невозможно

я так вижу что плачь в ЖЖ и статья на хабре сильно отличаются раз столько разногласий
либо у меня особый взгляд

Ранг: 62.8 (постоянный)
Статус: Участник

Создано: 7 февраля 2013 20:02 · Поправил: Rockphorr New!
Цитата · Личное сообщение · #19

имхо это судебное разбирательство информационных малварьных "барыг" -- вместо четких и лаконичных вопросов ответов -- шняга

они выпендриваются -- один наезжая а другой кидаясь понтами аля какая крутая ида про

вместо этого должен был быть четкий анализ и заключение -- то то и то соответствует, откуда исходники соответсвуют бинарю -- а у них ...

Ранг: 85.4 (постоянный)
Статус: Участник

Создано: 12 февраля 2013 08:37 New!
Цитата · Личное сообщение · #20

я вот не пойму, они truecrypt'ом принципиально не пользовались?


Ранг: 1126.2 (!!!!)
Статус: Участник

Создано: 14 февраля 2013 07:56 New!
Цитата · Личное сообщение · #21

http://webcache.googleusercontent.com/search?q=cache:http://habrahabr.ru/post/168501/

Вставьте в первый пост, что ли.


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 22 февраля 2013 23:57 · Поправил: reversecode New!
Цитата · Личное сообщение · #22

а там оказывается и продолжение было
--> Link <--


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 25 февраля 2013 11:55 · Поправил: reversecode New!
Цитата · Личное сообщение · #23

лол
--> Link <--

обновил тему
дополнил новыми линками


Ранг: 676.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 25 февраля 2013 13:26 New!
Цитата · Личное сообщение · #24

А с текстом самого экспертного заключения где-то можно ознакомиться? Если его можно увидеть, то станет понятно, что там за дела. За взятку, возможно, он ничего и не писал - сделал только то, что ему в ЛК сказали сделать. Во всяком случае - сам виноват, на суде нёс какую-то неконкретную ахинею, что теперь становится поводом усомниться в его компетенстности.


Ранг: 44.5 (посетитель)
Статус: Участник

Создано: 25 февраля 2013 15:57 New!
Цитата · Личное сообщение · #25

я всё жду когда вруб гуся замочит или наоборот, но ясно одно, этонихуяне90ые йоба, очень долго и томительно тянут за яйца, где экшон?


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 25 февраля 2013 16:08 · Поправил: reversecode New!
Цитата · Личное сообщение · #26

полагаю экшон будет когда в дело ввяжется сам дядя женя))
пока что он ездит на електричке между NY и DC и ему эти дела фиОлЭтовы))

ARCHANGEL пишет:
А с текстом самого экспертного заключения где-то можно ознакомиться? Если его можно увидеть, то станет понятно, что там за дела.

вот --> Link <--
взято отсюда --> Link <--


Ранг: 57.3 (постоянный)
Статус: Участник

Создано: 26 февраля 2013 20:11 New!
Цитата · Личное сообщение · #27

http://aback.org.ua/4620-Laboratoriya-Kasperskogo-okazalas-v-tsentre-skandala-o-korruptsii-i-falsifikatsiyah-.html#to


Ранг: 676.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 27 февраля 2013 11:49 New!
Цитата · Личное сообщение · #28

Экспертное заключение - ни о чём. Ни фрагментов дизассемлированного кода, ни листингов, ни тестов, ни описания механизмов исследования - одни голословные утверждения. Неудивительно, что дело приняло такой оборот. Представьте, если б так писались тьюторы по реверсингу. Типа, "сегодня я расскажу вам, как анпакнуть аспр. Берёте ида про - это офигенная программа. Ею анпакайте, а чё - это возможно, я вам говорю это, как специалист. Анпакал ли я? Конечно! В протекторе найдёте вм, заморфленную точку входа, порченный импорт, антидебаг и ещё некоторые трюки" И, вроде б, правда, но где доказательства? А что мешает туда дописать: " а ещё там есть драйвер и перехват исключений в ядре". Тоже похоже на правду, но уже враньё. И как отличить, где правда, где враньё. И - главное, как такие утверждения проверить?


Ранг: 1033.4 (!!!!)
Статус: Участник

Создано: 27 февраля 2013 11:57 New!
Цитата · Личное сообщение · #29

ты предлагаешь судье показывать выдержки с IDA ?))

диме следовало самому вместо вбросов, закинуть в паблик сам бинарник и сырцы которые у него обнаружили,
а то действительно пожоже он сам сел в лужу а тепеть бегает и кричит по рунету - спасайте помогите

послистай --> Link <--


Ранг: 676.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 27 февраля 2013 12:34 New!
Цитата · Личное сообщение · #30

reversecode
Не, ну это всё - лирика. Заключение ведь делается не для судьи, не для адвоката/прокурора, на то оно и экспертное. В любой сфере деятельности - строительстве, проектировании, нефтехимии, механике и т.д. есть понятие "экспертного заключения". Само это экспертное заключение обычно основывается на некоторой дополнительной информации - на результатах расчётов, контроля, на результатах испытаний. Эти документы либо полностью входят в экспертное заключение, либо доступны отдельно, но экспертное заключение на них ссылается. Т.е. это я к чему. Будь человек хоть трижды эксперт с нужными корочками, это подтверждающими, свой вывод он строит на базе чего-то, каких-то узкоспециализированных исследований, и они - эти исследования, должны где-то приводиться. Т.е. любой, кто будет это заключение читать, должен иметь доступ к таким документам. Вот с такими материалами я бы и хотел ознакомиться. А то, что Дима должен что-то выкладывать, исходники какие-то, бинарники, так это - правда, но только нахрена ж тогда экспертное заключение ЛК, если этими бумагами можно подтереться? Им же бабки были заплачены за это заключение, они провели работу, ну и где результат? Если б они на добровольных началах бесплатно работали без лицензии, разрешений, гарантий, договоров - тогда ок, а так - это не годится.
. 1 . 2 . >>
 eXeL@B —› Оффтоп —› Наезд на реверсеров и крэкеров

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0


Видеокурс ВЗЛОМ