Предлагаем твоему вниманию цикл статей «Reversing malware для начинающих», посвященных методикам и техникам анализа бинарного кода вредоносов в «домашней лаборатории». В первой статье мы коснемся специфики ремесла, рассмотрим основной инструментарий, необходимый для исследований, и сделаем обзор наиболее интересных и значимых ресурсов для самостоятельного изучения.

WARNING


Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
 

Reversing как искусство

Сегодня анализ вредоносного кода — это целая индустрия в области обеспечения информационной безопасности. Им занимаются и антивирусные лаборатории, выпускающие свои продукты для защиты, и узкоспециализированные группы экспертов, стремящихся быть в тренде векторов атак, и даже сами вирусописатели, которые конкурируют между собой за потенциального клиента — «жертву». Для вирусного аналитика, сидящего в застенках какого-нибудь крупного разработчика, это каждодневная кропотливая работа, требующая порой нестандартного и проактивного подхода. Однако, несмотря на то что функциональность малвари постоянно совершенствуется и техники обфускации модифицируются, общие методы анализа остаются уже долгое время неизменными.

Одна из важных частей анализа малвари — реверсинг (англ. reverse [code] engineering), или «обратная разработка», программного обеспечения. Если в двух словах, реверсинг — это попытка изучить и воссоздать алгоритмы работы программы, не имея на руках исходных кодов, с помощью специальных отладочных техник. По сравнению с анализом малвари тут возникает очень много весьма тонких нюансов. Во-первых, реверсинг ПО в абсолютном большинстве случаев запрещается лицензионным соглашением, так что любые попытки что-то изучить в «образовательных целях» совершаются только на свой страх и риск. Анализ же малвари таких ограничений не содержит, более того, это «дело благородное» — к примеру, изучив, каким образом ramsomware шифрует файлы жертвы, можно попробовать создать для нее декриптор, что, кстати, очень часто и делают разработчики антивирусного ПО. Во-вторых, реверсинг, как правило, направлен в сторону коммерческого ПО, делающего из trial или незарегистрированной версии ПО вполне рабочую (warez). Иными словами, это распространение пиратских копий ПО. Эти действия нарушают множество статей авторского и интеллектуального права, патентного законодательства, международных соглашений и тому подобного.


Хорошая статья о правовых основах реверсинга

Несмотря на неодобрение большинства представителей власти, ИТ-бизнеса и закона, в хакерском смысле реверсинг имеет и положительные стороны. К примеру, благодаря изучению программного обеспечения многие эксперты по безопасности обнаружили различные недокументированные возможности в ПО, которые обернулись большим скандалом для вендоров и производителей. Сюда же можно отнести и найденные 0day-уязвимости, которые не афишировались на публику до выпуска официальных патчей. Поклонникам open source, скорее всего, известен термин Clean room design, иными словами — способ копирования дизайна без нарушения авторских прав и коммерческой тайны разработчика. Так, к примеру, поступают с проприетарными графическими драйверами Nvidia под Linux-системы, пытаясь воссоздать оригинальную архитектуру, чтобы выпустить open source драйвер.

 

Готовим домашнюю лабораторию

Самый простой способ (и самое гибкое решение) создать тестовую домашнюю лабораторию для изучения малвари — установить виртуальную машину на настольный компьютер или ноутбук. Помимо того что виртуальные ОС позволяют обезопасить свою рабочую среду от случайного разрушения при работе с вредоносами, ты еще и сэкономишь кучу времени и усилий на разворачивание стендов, используя все преимущества снапшотов и V2V-копирования.

Из виртуальных сред наиболее доступны VirtualBox, MS Hyper-V и QEMU.

Запуская одновременно несколько виртуальных систем на одном физическом компьютере, ты можешь анализировать вредоносное ПО, которое пытается взаимодействовать с другими системами, получая/передавая команды, отправляя данные в сеть и тому подобное.

Некоторые продвинутые вредоносы научились определять, что они запущены в виртуальной среде, и это, конечно, можно рассматривать как недостаток. Однако это прекрасный шанс потренироваться и применить некоторые техники, позволяющие произвести реверсинг малвари даже в таком случае.

 

Методы анализа вредоносных программ

Чаще всего при анализе вредоносного программного обеспечения в нашем распоряжении будет только бинарник, то есть исполняемый файл или библиотека, скомпилированный в двоичном виде. Для того чтобы понять, как этот файл, а точнее его бинарный код работает, нужно будет использовать специальные инструменты и приемы.

Существует два основных подхода к анализу вредоносных программ: статический и динамический. При статическом анализе вредоносные программы изучают, не запуская малварь на исполнение. Динамический же анализ включает в себя запуск вредоносных программ и манипуляции с запущенным процессом в оперативной памяти.

Также оба метода условно можно разделить на базовый и продвинутый анализ. Базовый статический анализ состоит из изучения исполняемого файла без просмотра машинных инструкций. По сути, это первичный анализ, который может либо подтвердить, либо опровергнуть предположение о том, что файл вредоносен. Базовый динамический анализ связан с запуском вредоносного кода и наблюдением его поведения в целевой системе с помощью специальных инструментов. Продвинутый статический анализ подразумевает под собой загрузку исполняемого файла в дизассемблер без запуска кода в оперативной памяти и просмотр ассемблерных инструкций на предмет того, что делает код программы в целевой системе. Продвинутый динамический анализ использует отладчик для изучения внутреннего состояния выполняемого кода в оперативной памяти.

 

Основные инструменты для исследований

Ниже мы рассмотрим самые основные и широко используемые утилиты, превращающиеся в умелых руках в грозные инструменты. По аналогии с описанными выше методами, все инструменты условно можно разделить на инструменты статического и динамического анализа.

INFO


Многие думают, что reversing — это только взлом коммерческого ПО для превращения программ в warez. На самом деле reversing — это гораздо больше и глубже. Теми же методами, что и крекеры, пользуются эксперты по информационной безопасности, анализирующие malware или изучающие уязвимости и недокументированные возможности ПО.
 

1. Некоторые инструменты статического анализа

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


11 комментарий

  1. baragoz

    08.12.2016 at 13:35

  2. devbutch

    08.12.2016 at 14:04

    Очень кстати, совсем недавно решил продолжить осовение реверса и асм.

  3. devbutch

    08.12.2016 at 16:42

    Порекомендовал бы ещё из рус-яза книгу К. Касперски — Техника отладки программ без исходных текстов. Очень легко читается и даёт базовые (и не только) вещи для введения в область.

    • baragoz

      08.12.2016 at 19:55

      Там вроде есть в статье про труды КРиски

      • devbutch

        08.12.2016 at 20:09

        Там упомянут только SoftIce, который часто фигурирует в статьях и книгах Криса. А вот как таковых ссылок на труды я не увидел.

        • baragoz

          09.12.2016 at 09:31

          Точно, Криска есть, а книжек нет. Может потому что книжки старые достаточно?

          • devbutch

            09.12.2016 at 09:44

            2005 год. Мо меркам IT достаточно старая. Но как упомянул автоар в начале статьи, многие принципы и подходы остались неизменны. Так что для погружения в область и осознания как оно там всё устроено — «Настоятельно рекомендую»(с). Крис один из немногих авторов, кто пишет «живым» языком о сложных технических вещах.

  4. panogeek

    08.12.2016 at 19:58

    Зачет! 😉

    С нетерпением буду ждать продолжения цикла.

  5. MrMangust

    11.12.2016 at 10:05

    Уважаемые, а не кажется ли вам, что вставлять, парашу разную, в пруфы письма, для такого издания — это моветон?

  6. nexakep

    11.12.2016 at 10:28

    Ну да… Наверное глупо было надеяться на нечто большее, кроме обзора софта и литературы, в первой статье.

  7. Khazhinov

    18.12.2016 at 11:28

    Прекрасная статья. Довольно богатый и интересный контент. Информация есть и для опытного читателя. Спасибо!

Оставить мнение

Check Also

Пишешь на С++ или .NET? Даем скидку 50% на Deleaker, программу для поиска утечек памяти

Deleaker — это программа для разработчиков под Windows, пишущих на C++. Она ищет утечки па…