вторник, 20 декабря 2016 г.

Обзор ресурсов по теме reverse [malware] engineering

В сегодняшней публикации хотим поделится ресурсами, ссылками, обзорами и рекомендациями по изучению матчасти  в деле реверс инжениринга программного обеспечения,  в частности с уклоном на реверсинг малвари. Все собранные материалы базируются исключительно на собственном опыте и не претендует на исчерпывающую полноту. Надеемся, эта подборка станет полезной всем тем, кто только решается или уже сделал свои первые самостоятельные шаги в этом не легким делом.

Полную версию  читайте в журнале

Intro

И так, дорогие друзья, учим матчасть:) а значит много много читаем, запоминаем, задаем вопросы в соответствующих сообществах, делимся мыслями. идеями, ну и конечно же, берем и пробуем! 

Всем удачи в изучении:)
P.S. буду рад всем кто дополнит мой список или поделится полезными материалами:)

Онлайн-курсы и бесплатные тренинги для самостоятельного обучения

Наиболее известный англоязычный ресурс, описывающий методический подход к реверсу вредоносного кода с самых основ до глубокого анализа. Тем, кто хочет понять для себя концептуальные основы анализа и общую методологию исследования к прочтению обязательно!

Как и указано в названии это русскоязычный перевод материалов от Dr. Xiang Fu любезно подготовленный пользователями с никами Prosper-H, coldfire, ximera. Подойдет всем тем, кто пока что еще плохо понимает английский. 

Курс, состоящий из 7 обучающих модулей построенных по принципу от простого к сложному, включат себя все основные темы: статический и динамический анализ, расширенный анализ, распаковка, отладка, а атк же содержит практические лабораторные работы. Длительность полного курса составляет 9ч после которого так же можно сдать сертификационный экзамен.

4. Cheat Sheet for Analyzing Malicious Software от LENNY ZELTSER, набор нескольких статей в виде небольших шпаргалок по анализу вредоносного ПО. Мелочь, я приятно! Во время работы точно пригодится:)

Форумы посвященные тематике reverse [malware] engineering

1. Tuts 4 You– англоязычный форум, один из самых популярных и авторитетных среди подобных, целиком посвящен вопросам реверсинга ПО, в том числе анализа вредоносов и т.п. По мимо этого имеется и русскоязычная ветка, где обитают большое количество соотечественников готовых поделиться опытом и образцами для исследования.

2.eXeL@B – без преувеличения крупнейший форум в русскоязычном сегменте сети так же целиком сфокусированный на вопросах изучения и анализа программ, реверсинга и всем, что с этим связано. Здесь обитают и новички и уже матерые гуру. Не смотря на то, что форуму уже много лет, он по прежнему живой, регулярно появляются новые топики и обсуждаются актуальные вопросы.

Книги и документация

Книги по исследованию программного обеспечения и обратной разработке являются весьма специфической и узкоспециализированной литературой. В виду этого их издано в принципе очень мало, а тех, которые еще бы были приведены на русский и того нет вообще. Однако, на милость нам, есть достойные экземпляры, речь о которых пойдет ниже.

Книга Practical Malware Analysis сочетает в себе некое подобие учебного пособия, где подробно описываться рабочие инструменты и используемые техники реверсинга, а так же в конце почти каждой главы приводятся список лабораторных работ к описанному выше материалу. С каждой новой главой читатель узнает больше материала, а так же закрепляет его на все более усложняющихся лабораторных работах.

Тоже весьма интересная книга с упором на практический реинжиниринг нацеленных прежде всего на аналитиков, инженеров по безопасности и системных программистов. В книге рассматриваются архитектуры x86, x64 и ARM, а так же детально режим ядра Windows, технологии rootkit, методы обфускации, анти-отладочные трюки т.д. материал подается с большим количеством практических упражнений и реальных примеров. Книга больше на тему именно реверсинга софта чем анализа малвари, но однозначно пригодится!

Книга очень похожая на предыдущую, являющаяся так же практическим руководством по реверсингу программного обеспечения. Начало любой главы начинается с теории, объяснений тех или иных принципов, подходов, далее демонстрируются примеры практических действий. Иллюстрируются технологии дисассемблирования, разбора машинных инструкция на языке ассемблера. Так же затронуты вопросы взаимодействия анализируемой программы со сторонними библиотеками. 

4. Reverse Engineering for Beginners free book, Денис Юричев
Книга нашего соотечественника Дениса Юричева, (сайт автора)
Очень полезное руководство по реверсингу для начинающих на русском языке! Настоящий кладезь знаний, почти 1000 страниц подробнейшего разбора кода, реальных примеров «вскрытия», особенностей отладки в той или иной ОС, пошаговые руководства к действию. А так же упражнения и задачи, которые доступны на сайте

Предоставлена переведенная на русский язык официальная справка по отладчику OllyDbg, выполненная в формате HLP. Автор перевода HyPeR.
Для новичков так же будет полезно прочитать Первое знакомство с OllyDbg от автора портала eXeL@B, Инструкция по применению и заглянуть в оффлайн архив статей "Введение в крэкинг с нуля, используя OllyDbg"  взятого с ресурса WASM.

6. Образ мышления - дизассемблер IDA от Криса Касперски. 
Хотя данная книга уже довольно старая по меркам ИТ-изданий, но по содержащейся в ней материале она прежнему остается весьма актуальной. В книге так же содержится справочник с описанием функций встроенного языка, интерфейса и архитектуре дизассемблера IDA Pro версии 4.01.  Автор подробно иллюстрирует приемы эффективного использования с помощью IDA Pro для исследования зашифрованного кода,  самомодифицирующегося кода и кода, защищенного антиотладочными приемами.

Reverse Engineering Code with IDA Pro, книга полностью посвященная практике использования IDA Pro в деле реверсинга различных программ, в  том числе защищенных малоизвестными упаковщиками, протекторами и фичами внедренными в код для усложнения процесса отладки и дизассемблирования.

Репозитории и базы данных образцов для исследования

Ниже мы придем несколько  ссылок на хранилища и онлайн базы данных откуда можно скачать различную малварь или отдельные семплы для практических занятий. 

1. Contagio Malware Dump - коллекция последних образцов различных вредоносов
2. Das Malwerk - свежие наборы вредоносов на любой вкус
3. KernelMode - репозиторий заточенный под образцы работающие под Win32 и rootkit Windows
4. DamageLab - специализированный форум, где можно найти много полезного, в том числе выкладываемые исследователями распакованные и дешифрованные сэмплы, методики и рекомендациями по их анализу
5. MalwareBlacklist - ежедневно обновляемая доска blacklisted URLs зараженных малварью, можно находить актуальные версии
6. Open Malware – база данных с возможностью поиска вредоносного файла по имени или хешу MD5, SHA1, SHA256
7. Virusign - регулярно пополняемая база данных малвари детектируемая антивирусом ClamAV
8. VirusShare - еще один обновляемый репозиторий для исследователей и реверсеров

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...