Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Для новичков
Страницы: 1
RSS
Исследование вирусов .
 
#1
Это нравится:0Да/0Нет
18.09.2007 10:43:40
Подскажите , как исследовать вирусы на винде ( смотреть код , адрес куда отправляется информация и т.д )?
Слышал , что некоторые могут заразить в VMware.
 
 
 
#2
Это нравится:0Да/0Нет
18.09.2007 11:28:06
Цитата
Mnemonik пишет:
Подскажите , как исследовать вирусы
Учить ассемблер... и вопрос отпадёт сам.
 
 
 
#3
Это нравится:0Да/0Нет
18.09.2007 11:58:12
Mnemonik, Что подразумевается под словом исследовать  :?!
Цитата
адрес куда отправляется информация
Это все зависит от вируса  ... и от твоей настройки системы безопасности , можеш поснифирить ...

Цитата
смотреть код
Учи программирование.
Цитата
Слышал , что некоторые могут заразить в VMware.
а, еще некоторые могут вписать в память , и после формата   распаковаться.
 
 
 
#4
Это нравится:0Да/0Нет
18.09.2007 16:00:09
Цитата
n0n2me ruserr пишет:
Mnemonik, Что подразумевается под словом исследовать :?!

Имел ввиду исследовать вирус и при этом не заразить компьютер. Как это проделывается ?
 
 
 
#5
Это нравится:0Да/0Нет
18.09.2007 18:21:12
Цитата
Mnemonik пишет:
Имел ввиду исследовать вирус и при этом не заразить компьютер. Как это проделывается ?
Распаковываешь вирус снимая все UPX или там FSG и гоняешь на дизассемблере или дизасемблируеш и смотришь листинг...
Но можно попытаться выкрутиться и с заражением машины.
1ое полный бекап всех данных винта и далее ставишь Outpost, System Safety Monitor, запускаешь AVZ, Process Explorer (sysinternals), RegMon (sysinternals), FileMon (sysinternals), про снифер n0n2me ruserr уже сказал, все жестоко настраиваешь, запускаешь вирь и смотришь куда лезет и что творит... а потом убиваешь его антивирусом.



И хватит насиловать моск.
 
 
 
#6
Это нравится:0Да/0Нет
18.09.2007 22:34:35
Mnemonik ,прости ну не как не могу понять цель исследования ...

Если есть определенный вирь и тебе интересно  куда он просится...
Бекапь Win , и смотри как уже описал IceBeerg .

Только вопрос в другом, а если вирь будет прыгать по хардам  :? и  забекапит ся =)

IceBeerg
Цитата
RegMon (sysinternals), FileMon (sysinternals)

Ну а этим надо уметь пользоваться ,ИХМО :oops:
Помоему проще   поставить WIn
на другой раздел , акроникс (поставить на параноидальный ) ...и  смотреть  куда вписывается .

Что касается файрвола, то не понимаюне  зачем :?!...
Узнать через какой порт он прыгает :?!=)
Если трои  норм то он его обойдет и не успеешь заметить ,
снифирить и усе.

Так узнаеш  куда вписался вирь и куда текает ... но опять же не знаю что тебе даст это :?!


Если изучать , Вы имеете ввиду писать свои ... то  Програмирования, Строение сети ,   изучайте  и флаг вам  вруки и барабан за решеткой =)
 
 
 
#7
Это нравится:0Да/0Нет
19.09.2007 11:18:17
Цитата
n0n2me ruserr пишет:
Ну а этим надо уметь пользоваться ,ИХМО Смущенно Помоему проще поставить WIn на другой раздел , акроникс (поставить на параноидальный ) ...и смотреть куда вписывается .

Что касается файрвола, то не понимаюне зачем :?!... Узнать через какой порт он прыгает :?!=) Если трои норм то он его обойдет и не успеешь заметить , снифирить и усе.
А чего ими то уметь пользоваться  :oops: если голова не ниже пояса и руки из неё растут  :)
Можно конечно и вторую винду поставить...  ;)
А касательно фаера, так я это, по привычке, стандартный набор перечислил, согласен, снифить конечно продуктивнее.
 
 
 
#8
Это нравится:0Да/0Нет
19.09.2007 12:03:01
Дизассемблим пошагово, можно и на Vmware
 
 
 
#9
Это нравится:0Да/0Нет
21.09.2007 01:06:39
Цитата
n0n2me ruserr пишет:
а, еще некоторые могут вписать в память , и после формата распаковаться.
Не уловил: как это соотносится с темой запуска виря под виртуалкой?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#10
Это нравится:0Да/0Нет
21.09.2007 14:23:02
Shanker , а я не под виртуалкой говорил , а вообще ...
 
 
 
Страницы: 1
Читают тему