Вопрос Вы сможете скинуть немного книжек для ревёрс инжиниринга

Начинающий
Статус
Оффлайн
Регистрация
23 Ноя 2022
Сообщения
8
Реакции[?]
1
Поинты[?]
0
Желательно книги где рассказывается что за что отвечает и тд, и как взламывать спуферы или читы, в программе x64dbg или ida pro
 
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
130
Реакции[?]
256
Поинты[?]
84K
1)Нет таких книжек, где задевается взлом спуферов или читов(я ,по крайне мере, не видел книг, нацеленных на них).
2)Если вы новичок, то рекомендую эти книги:
1)Вскрытие покажет! Практический анализ вредоносного ПО(+ все лабораторные работы)
2)Искусство дизассемблирования.
Если более продвинутый уровень:
1)Rootkit subverting the windows kernel.
2)Rootkits and Bootkits: Reversing Modern Malware.
3)Вам самостоятельно придётся разобраться, как работают дебаггеры и дизассемблеры на более глубоком уровне и их проблемы.
В любом случае, используйте гугл и попытайтесь найти ответы,а не задавать их сразу.
4)Я не понимаю, почему всех тянет что-то крякнуть. Область разработки вирусов/антивирусов более прибыльная и актуальная
т.к рынов всегда будет нуждаться в этом + антивирусы обычно используют более продвинутые методы для обнаружения вирусов/аномалий(если речь заходит про нормальный AV,а не cringe shit AV)
 
EFI_COMPROMISED_DATA
лучший в мире
Статус
Оффлайн
Регистрация
26 Янв 2018
Сообщения
920
Реакции[?]
1,632
Поинты[?]
85K
Область разработки вирусов/антивирусов более прибыльная и актуальная
т.к рынов всегда будет нуждаться в этом + антивирусы обычно используют более продвинутые методы для обнаружения вирусов/аномалий(если речь заходит про нормальный AV,а не cringe shit AV)
малварщиком быть можно только в России, а быть авером это грех и клеймо на всю жизнь (да и просто не по пацански).

> продвинутые методы для обнаружения вирусов/аномалий
excuse me?
 
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
130
Реакции[?]
256
Поинты[?]
84K
малварщиком быть можно только в России, а быть авером это грех и клеймо на всю жизнь (да и просто не по пацански).
Пора перестать быть гопником и нужно стать полноценным быдлом, попивая пивас и закусывая всё UEFI и мертвым биосом :kappa:.

> продвинутые методы для обнаружения вирусов/аномалий
excuse me?
[/QUOTE]
Здесь больше про возможность раньше начать и закрепиться глубоко в системе.
Например, атакующий может закрепиться в SMM(более привилегированный режим),благодаря чему вы сможете сделать свои грязные дела раньше и сокрыть свои следы более эффективнее.
У меня большие сомнения,что какой-либо AC(возможно, в теории, только какой-нибудь ESEA будет заботиться об этом и это просто предположение).
Честно говоря,здесь речь про нахождения самого факта уклонения(например, выполнение неподписанного кода или обнаружение продвинутого руткита,который скрывает/перехватывает определённую информацию при компрометации системы) и более быстрое реагирование на некоторые критические эксплойты.
P.S возможно, сказал cringe т.к только начинаю разбираться в этой "каше" и не особо пока понимаю многие моменты :roflanBuldiga:
 
EFI_COMPROMISED_DATA
лучший в мире
Статус
Оффлайн
Регистрация
26 Янв 2018
Сообщения
920
Реакции[?]
1,632
Поинты[?]
85K
Например, атакующий может закрепиться в SMM(более привилегированный режим),благодаря чему вы сможете сделать свои грязные дела раньше и сокрыть свои следы более эффективнее.
баян

У меня большие сомнения,что какой-либо AC(возможно, в теории, только какой-нибудь ESEA будет заботиться об этом и это просто предположение).
тебе пришло время посмотреть что под капотом фейсит ач делает и какие мср у интола есть с инфой об смм переключениях

Честно говоря,здесь речь про нахождения самого факта уклонения(например, выполнение неподписанного кода или обнаружение продвинутого руткита,который скрывает/перехватывает определённую информацию при компрометации системы) и более быстрое реагирование на некоторые критические эксплойты.
не сказал бы про быстрое реагирование, цве трекер посмотри сколько там не закрытыми висят уязвимости
 
Obstruct Omicronium
Пользователь
Статус
Оффлайн
Регистрация
28 Авг 2022
Сообщения
66
Реакции[?]
78
Поинты[?]
66K
Например, атакующий может закрепиться в SMM
Атакующему, в первую очередь, туда нужно еще добраться как-то адекватно (спойлер: адекватно это немного больно). Ну, я могу только предложить тебе цепочку из сплойтов каких-нибудь: ЮМ -> КМ -> SMM.
Стоит отметить также, что реализации того же UEFI могут друг от друга существенно отличаться и вообще не всегда есть смысл в закреплении в SMM. Тут стоит вообще подумать: "А нужно ли? Стоит ли это того?".

Честно говоря,здесь речь про нахождения самого факта уклонения(например, выполнение неподписанного кода или обнаружение продвинутого руткита,который скрывает/перехватывает определённую информацию при компрометации системы) и более быстрое реагирование на некоторые критические эксплойты.
Это немного сложно. Современные аверы, в принципе, не очень быстро реагируют на что-либо (только если это уже не засыпанный сигнатурами бинарник) и порою очень странно себя ведут, сжирая практически то, что сжирать и не надо было вовсе. Боюсь, что на достижения нормальной скорости реагирования АВ понадобится много времени.
Может быть с ELAM все обстоит немного проще, но не знаю, я еще не успел изучить механизм его работы нормально.
 
Сверху Снизу