Вирусология

eXeL@B DVD

Материал из Справочник исследователя программ

Перейти к: навигация, поиск

Как направление для исследования, изучения и развития берет свое начало с тех времен, когда стало понятно, что код может являться данными, как для другого кода, так и для самого себя. Написание программы в таких условиях требует аккуратности и четкого глубокого понимания происходящего при ее выполнении.

Наиболее продвинутая область в IT технологиях. Причина тому - высокий уровень кодеров, обусловленный необходимостью RCE. Одной из основных целей вирмейкера является поиск уязвимостей в реализациях осевых механизмов, таким образом реверсер должен разбираться в этих механизмах лучше чем его авторы. Отсюда возникло понятие нулевого дня.

Вирусология может быть легальной - этим занимаются AV конторы(уже долгое время, но в силу низкого уровня этих кодеров у них прогресса нет, всё сводится к выдиранию из кода сигнатур и созданию примитивных виртуальных машин).

Реально те кодеры, которые считаются рассово вирмейкерами определяются более кошерно - сцена. Считается что она давно умерла(со времён z0mbie). Это инвалидное утверждение, учитывая множество новых актуальных технологий. Просто теперь всё перешло в приват изза повышения стоимости технологий(и повышения уровня их уровня сложности), это вполне ожидаемо и неизбежно.

Вирмейкер имеет низкий уровень вхождения - задачи решаемые им не доступны для простых кодеров, в том числе и аверов. Это связано с уровнем технологий и требований к ним. Например главные требования к решению задач следующие:

  • Не идти поперёк защиты. В частности не портить секции кода модулей. MS ввела защиту для этого - патчгурд(причём аверы идут наперекосяк этой защите). Это в принципе должно палится любым детектором, но в силу того, что уровень аверов низок, даже тривиальный патч может оставаться не обнаруженным(утилиты EP_XOFF и тп.). Обусловлено не способностью к анализу кода.
  • Не использовать паблик функционал. Это всевозможные колбеки, дескрипторные таблицы и пр. механизмы. Авер это палит, так как документировано, что не документировано не палится и очень не желательно для аверов - проблемы с совместимостью.
  • На одинаковом уровне привилегий выживает тот, кто раньше получит управление.

Сегодня, вирусы эволюционировали от простейших вредоносных программ, причиняющих вред и разрушения на локальном компьютере до сложных руткитов, решающих техническую сторону вопроса о нарушении работы сетевых ресурсов и причинении ущерба.

В среде вирмейкеров аверские механизмы защиты часто вызывают смех в силу своей примитивности реализации. Например загрузка своих векторов в SST, причём а) это решение примитивно и глупое, вдобавок легко обходится и б) хэндлеры кривые и содержат уязвимости(закрывая одну дыру они открывают несколько новых за счёт не корректной реализации фильтров).