Вопрос Вы сможете скинуть немного книжек для ревёрс инжиниринга

[SuperMennnn]

Желательно книги где рассказывается что за что отвечает и тд, и как взламывать спуферы или читы, в программе x64dbg или ida pro

 

[ince]

как взламывать спуферы или читы

я представил себе такую книгу

 

[Ahora_technology]

1)Нет таких книжек, где задевается взлом спуферов или читов(я ,по крайне мере, не видел книг, нацеленных на них).
2)Если вы новичок, то рекомендую эти книги:
1)Вскрытие покажет! Практический анализ вредоносного ПО(+ все лабораторные работы)
2)Искусство дизассемблирования.
Если более продвинутый уровень:
1)Rootkit subverting the windows kernel.
2)Rootkits and Bootkits: Reversing Modern Malware.
3)Вам самостоятельно придётся разобраться, как работают дебаггеры и дизассемблеры на более глубоком уровне и их проблемы.
В любом случае, используйте гугл и попытайтесь найти ответы,а не задавать их сразу.
4)Я не понимаю, почему всех тянет что-то крякнуть. Область разработки вирусов/антивирусов более прибыльная и актуальная
т.к рынов всегда будет нуждаться в этом + антивирусы обычно используют более продвинутые методы для обнаружения вирусов/аномалий(если речь заходит про нормальный AV,а не cringe shit AV)

 

[es3n1n]

Область разработки вирусов/антивирусов более прибыльная и актуальная
т.к рынов всегда будет нуждаться в этом + антивирусы обычно используют более продвинутые методы для обнаружения вирусов/аномалий(если речь заходит про нормальный AV,а не cringe shit AV)

малварщиком быть можно только в России, а быть авером это грех и клеймо на всю жизнь (да и просто не по пацански).

> продвинутые методы для обнаружения вирусов/аномалий
excuse me?

 

[Ahora_technology]

малварщиком быть можно только в России, а быть авером это грех и клеймо на всю жизнь (да и просто не по пацански).

Пора перестать быть гопником и нужно стать полноценным быдлом, попивая пивас и закусывая всё UEFI и мертвым биосом .

> продвинутые методы для обнаружения вирусов/аномалий
excuse me?
[/QUOTE]
Здесь больше про возможность раньше начать и закрепиться глубоко в системе.
Например, атакующий может закрепиться в SMM(более привилегированный режим),благодаря чему вы сможете сделать свои грязные дела раньше и сокрыть свои следы более эффективнее.
У меня большие сомнения,что какой-либо AC(возможно, в теории, только какой-нибудь ESEA будет заботиться об этом и это просто предположение).
Честно говоря,здесь речь про нахождения самого факта уклонения(например, выполнение неподписанного кода или обнаружение продвинутого руткита,который скрывает/перехватывает определённую информацию при компрометации системы) и более быстрое реагирование на некоторые критические эксплойты.
P.S возможно, сказал cringe т.к только начинаю разбираться в этой "каше" и не особо пока понимаю многие моменты

 

[es3n1n]

Например, атакующий может закрепиться в SMM(более привилегированный режим),благодаря чему вы сможете сделать свои грязные дела раньше и сокрыть свои следы более эффективнее.

баян

У меня большие сомнения,что какой-либо AC(возможно, в теории, только какой-нибудь ESEA будет заботиться об этом и это просто предположение).

тебе пришло время посмотреть что под капотом фейсит ач делает и какие мср у интола есть с инфой об смм переключениях

Честно говоря,здесь речь про нахождения самого факта уклонения(например, выполнение неподписанного кода или обнаружение продвинутого руткита,который скрывает/перехватывает определённую информацию при компрометации системы) и более быстрое реагирование на некоторые критические эксплойты.

не сказал бы про быстрое реагирование, цве трекер посмотри сколько там не закрытыми висят уязвимости

 

[Kodama]

Например, атакующий может закрепиться в SMM

Атакующему, в первую очередь, туда нужно еще добраться как-то адекватно (спойлер: адекватно это немного больно). Ну, я могу только предложить тебе цепочку из сплойтов каких-нибудь: ЮМ -> КМ -> SMM.
Стоит отметить также, что реализации того же UEFI могут друг от друга существенно отличаться и вообще не всегда есть смысл в закреплении в SMM. Тут стоит вообще подумать: "А нужно ли? Стоит ли это того?".

Честно говоря,здесь речь про нахождения самого факта уклонения(например, выполнение неподписанного кода или обнаружение продвинутого руткита,который скрывает/перехватывает определённую информацию при компрометации системы) и более быстрое реагирование на некоторые критические эксплойты.

Это немного сложно. Современные аверы, в принципе, не очень быстро реагируют на что-либо (только если это уже не засыпанный сигнатурами бинарник) и порою очень странно себя ведут, сжирая практически то, что сжирать и не надо было вовсе. Боюсь, что на достижения нормальной скорости реагирования АВ понадобится много времени.
Может быть с ELAM все обстоит немного проще, но не знаю, я еще не успел изучить механизм его работы нормально.