Вакансия: разработчик систем защиты ПО

← →
Rouse_ © (2014-03-14 21:24) [0]

Неспешно ищется человек на вакансию разработчика систем защиты ПО.

Требования:
ассемблер 32/64/ARM
реализация драйверов уровня ядра (NDIS/WDP/HID)
общие понятия о взломе ПО (желательно портфолио)
общие понятия о реализации метаморфических/полиморфических движков
общие понятия о реализации виртуальных машин
отдельным пунктом - знание Delphi (об этом ниже).

Москва (м. Академическая)
Полный рабочий день.
Оформление по ТК + прочий фарш.
ЗП - ну сами понимаете сколько будет стоить такой спец (не обидим).

Суть проекта:
Необходимо реализовать практически с нуля протектор исполняемых файлов
под 64 бита.
Существующие сейчас на рынке меня не устраивают по целому ряду причин.
По сути нужно будет разработать дизасм 64 битного кода, сам метаморфический
движок, преобразующий дизассемблированные данные (на базе шаблонов +
матаппарат), добавить мусорный полиморф (скорее всего перестановочный)
ну и естественно ассемблирующий движок, который все это возвращает
обратно.
Работы вагон и один я банально не справлюсь в приемлимое время.
Примерное время разработки около года-полтора.

Для чего нужно знание Delphi - понятно что одним только движком защиты заниматься не придется, нужно еще и с текущей мелочевкой разбираться, поэтому Delphi должен быть в багаже.

Работа не для попрыгунчиков, которые хотят прийти в проект на год-два.
Мы берем спеца один раз и на всегда. Впрочем коллектив у нас хороший - атмосфера вам понравится :)

контакты: rouse собака grandsmeta dot ru

← →
Rouse_ © (2014-03-14 21:56) [1]

ЗЫ: чуть не забыл, соискателям на вакансию будет предложено три crackme, которые нужно будет "взломать". (в качестве проходного барьера, дабы не распыляться...)

← →
Германн © (2014-03-15 03:48) [2]

Хм.

> общие понятия о взломе ПО (желательно портфолио)

Хм. Это как? Портфолио это набор описаний готовых работ. Т.е. практика.
Общие понятия - это теория.

← →
Юрий Зотов © (2014-03-15 10:37) [3]

Портфолио по взлому ПО?
Простите, а Вы с какой целью интересуетесь?

← →
antonn © (2014-03-15 11:43) [4]

> ЗП - ну сами понимаете сколько будет стоить такой спец (не
> обидим).

я не понимаю, скажи вилку зарплат такого спеца

> Хм. Это как? Портфолио это набор описаний готовых работ.
> Т.е. практика.

например, открытые обсуждения о уязвимостях в ПО (например на форумах антивирусов, фаерволов и тп) и рекомендации для их устранения

← →
Rouse_ © (2014-03-15 14:10) [5]

> Германн © (15.03.14 03:48) [2]

Ну это в том смысле что не обязательно обладать знаниями вирусного аналитка, умеющего в статике анализовать код ВМ, достаточно просто иметь представление о том как это происходит, каким макаром приложение может противостоять отладчику (вплоть до отказа в загрузке под отладкой).

> Юрий Зотов © (15.03.14 10:37) [3]

А в чем проблема? Для этого есть просто несметная толпа различных crackme на которых народ и тренируется. Я ж не говорил о том что боевой софт ломать надо :)

> antonn © (15.03.14 11:43) [4]

Нет, такие вещи обсуждаются персонально.

← →
antonn © (2014-03-15 14:23) [6]

> Нет, такие вещи обсуждаются персонально.

не пойми неправильно, но в вакансиях указываются примерные вилки зарплат. Это если компания действительно хочет найти специалиста. А специалист, не в последнюю очередь, будет смотреть на сумму, которую компания готова ему оплатить (что, в некотором роде, говорит о серьезности кампании). Мало кто из серьезных спецов пойдет работать за идею...
ну вот примерно это 90к-150к после вычетов налогов?

← →
Rouse_ © (2014-03-15 14:26) [7]

> ну вот примерно это 90к-150к после вычетов налогов?

Ну что-то похожее.

← →
Юрий Зотов © (2014-03-15 14:46) [8]

Сань, я подойду?
:o)

> ассемблер 32/64/ARM
Только 16, да и то уже забыл.

> реализация драйверов уровня ядра (NDIS/WDP/HID)
Драйвер мышиного коврика (inf). Видя его в списке устройств, народ сначала неслабо удивлялся, а потом еще неслабее ржал.

> общие понятия о взломе ПО (желательно портфолио)
Портфолио: DOS"овская программа, взломанная при помощи одного лишь Norton Commander"а. Взлом состоял в отключении вредоносной закладки. Блин, трое суток без сна... но зато это была песня.

> общие понятия о реализации метаморфических/полиморфических движков
Было как-то, тоже еще под DOS"ом. Ходишь отладчиком по одним и тем же адресам и каждый раз видишь там новый код, но ни разу не видишь реального кода. Делалось как раз для защиты от взлома.

> общие понятия о реализации виртуальных машин
Общее понятие? Ну а как же, конечно есть, общее некуда: виртуальная машина - ну, это, в общем, хрень такая.

> отдельным пунктом - знание Delphi.
А как же, конечно знаю -это город такой, в Греции.

PS
Согласен работать за еду - если она деликатесная, в большом количестве и выдается деньгами.

← →
Юрий Зотов © (2014-03-15 14:54) [9]

А, да, забыл - еще Digger"а ломал. Заставлял его нормально работать на Пнях (потому что писался он еще под 8086, а на Пнях тебя сжирали раньше, чем ты успевал нажать хоть одну кнопулю).

Блин, 1,3 Мб дизассемблированного кода... мрак. Чисто на упрямстве осилил.

← →
Юрий Зотов © (2014-03-15 14:59) [10]

Сань, ты извини за оффтоп - просто те, кто здесь бывает, кто все это потянет и кому это надо уже наверняка сабж прочитали и с тобой свяжутся (или уже связались).

← →
Rouse_ © (2014-03-15 15:07) [11]

Ну да - связываются помаленьку, так что пусть еще повисит :)

← →
Пит (2014-03-15 22:12) [12]

даже интересно - найдешь ли

← →
DVM © (2014-03-15 22:28) [13]

Я бы побоялся в нынешнее время идти куда то с портфолио по взлому ПО если бы оно у меня было.

← →
Pavia © (2014-03-15 22:29) [14]

> даже интересно - найдешь ли

А почему нет?
Думаю у Розыча сейчас отбоя нет от желающих.

> Работа не для попрыгунчиков, которые хотят прийти в проект
> на год-два.Мы берем спеца один раз и на всегда. Впрочем
> коллектив у нас хороший - атмосфера вам понравится :)

А коллектив большой?

← →
Pavia © (2014-03-15 22:33) [15]

> Я бы побоялся в нынешнее время идти куда то с портфолио
> по взлому ПО если бы оно у меня было.

И даже в Центр специальных разработок МО РФ?
http://hh.ru/employer/1190362

← →
Rouse_ © (2014-03-15 22:34) [16]

> Пит (15.03.14 22:12) [12]
> даже интересно - найдешь ли

Да, два соискателя уже есть.

> Pavia © (15.03.14 22:29) [14]
> А коллектив большой?

Сейчас семь человек.

← →
Rouse_ © (2014-03-15 22:38) [17]

> Да, два соискателя уже есть.

Зы: причем с одним вообще смешно получилось, мы с ним на тему защиты ПО больше года переписываемся, я даж не знал где он территориально работает, а оказалось что он работает в соседнем с нашим офисом здании, мошт даже на улице пересекались :)))

← →
DVM © (2014-03-15 22:39) [18]

> Pavia © (15.03.14 22:33) [15]

А там не предлагается принести портфолио по взлому.

← →
Rouse_ © (2014-03-15 22:43) [19]

> DVM © (15.03.14 22:39) [18]
> А там не предлагается принести портфолио по взлому.

А как ты думаешь что должен принести на собеседование человек, претендующий на вот эту вакансию: http://hh.ru/vacancy/9822875
И где он вообще такой опыт получить мог?

← →
Inovet © (2014-03-15 22:52) [20]

> [17] Rouse_ © (15.03.14 22:38)
> в соседнем с нашим офисом здании

Почему я думал, что вы где-то в райное м. Университет?

← →
DVM © (2014-03-15 22:53) [21]

> Rouse_ © (15.03.14 22:43) [19]

> А как ты думаешь что должен принести на собеседование человек

Да я все понимаю. Но осторожность не помешает иногда.
Принести он должен знания и готовность их продемонстрировать на примерах не являющихся коммерческим ПО. Но принести примеры взломанных им коммерческих программ (защищены ведь обычно коммерческие программы) или ломать такие программы на собеседовании - несколько небезопасно. Так конечно работу можно получить, но несколько на других условиях и совсем не в коммерческой компании, бывает и такое.

← →
Rouse_ © (2014-03-15 22:55) [22]

> Inovet © (15.03.14 22:52) [20]
> Почему я думал, что вы где-то в райное м. Университет?

4 года как переехали.

> DVM © (15.03.14 22:53) [21]
> Но принести примеры взломанных им коммерческих программ
> (защищены ведь обычно коммерческие программы) или ломать такие
> программы на собеседовании - несколько небезопасно.

Да ктож за коммерческий софт то говорит?
Открываешь любой сайт по информационной безопасности, идешь в раздел Crackme и вперед и с песней, официально и безопасно.

← →
Rouse_ © (2014-03-15 22:56) [23]

Вот к примеру, на любой цвет и вкус: http://www.crackmes.de/

← →
имя (2014-03-15 23:13) [24]

Удалено модератором

← →
имя (2014-03-15 23:40) [25]

Удалено модератором

← →
Германн © (2014-03-16 02:35) [26]

> Rouse_ © (15.03.14 14:26) [7]
>
>
> > ну вот примерно это 90к-150к после вычетов налогов?
>
> Ну что-то похожее.

Тяжела жизнь независимых разработчиков. :(
Ломай голову 24х7, а что в результате? Только гордость за не бесцельно прожитые годы?

← →
Германн © (2014-03-16 03:00) [27]

> Rouse_ © (15.03.14 14:26) [7]
Только не поймите меня, ребята неправильно. Я не про вас.

← →
Пит (2014-03-16 14:41) [28]

> А почему нет?
> Думаю у Розыча сейчас отбоя нет от желающих.

что-то сомневаюсь. По опыта, найти нормального программиста - и то задача, по полгода, год можно искать. А тут специфика нефиговая. Думаю, так и получится, что Розыч почти всех кандидатов так или иначе в виртуале уже знает )

← →
antonn © (2014-03-16 15:05) [29]

к тому же "кому надо - обратится" немного портит впечатление: в конце концов конторе нужен специалист или нет?

но почитав ветки Rouse сложилось впечатление что из крупного разработанного и поддерживаемого - справочник (Грандсмета/Гарант? не помню что за название было), и защита для этого справочника. Это не так? Вообще рассказал бы что компания вообще делает, какие продукты выпустила/поддерживает, сайт бы написал где почитать и ознакомиться.

← →
Eraser © (2014-03-16 15:24) [30]

> Пит (16.03.14 14:41) [28]

это точно, я думаю что, по крайней мере в РФ, готовых специалистов такой квалификации можно по пальцам одной руки пересчитать. спецов по безопасности думаю относительно много, но именно делфистов - вопрос.

← →
Дмитрий СС (2014-03-16 15:56) [31]

Работу не особо ищу, просто похвастаться.
Помню "взломал" internat.exe, чтобы иконка в тренер нормального цвета была в новых windows. К сожалению для 64 бита не нашел его.

Помню программу, defview кажется доработал функцией сохранения, тем самым лишив ее основного смысла. Причем доработка была в уже запущенном процессе.

Помню какую то программу для тестирования студентов доломал до момента где стало понятно, что получить желаемое невозможно. Список вопросов был зашифрован ключем, а ключ паролем каждого студента. Получалось, чтобы получить вопросы нужен был хотя бы один пароль студента, а их присылали только перед тестом.

А сколько сайтов во времена популярности SQL инъекций, уже не помню :)
Всем спасибо, что прочли :)
---
Сань, а может еще задание наоборот, написать crackme и прислать тебе?

← →
Rouse_ © (2014-03-16 16:06) [32]

> antonn © (16.03.14 15:05) [29]

Не, у нас софт это что-то типа IDE для сметчиков, такой очень сильно продвинутый Excel + ИСС типа Гаранта или Консультанта.
Продукт сильно востребован, поэтому требует достаточно нетривиальной защиты. На данный момент пять лет как не взломан, но в 32 битах становится тесно, а наработок под 64 бита у меня нет, поэтому придется все писать с нуля.

← →
Rouse_ © (2014-03-16 16:07) [33]

> Сань, а может еще задание наоборот, написать crackme и прислать
> тебе?

Ну попробуй, только не факт что у меня сильно много времени будет ковырятся.

← →
antonn © (2014-03-16 16:09) [34]

> Rouse_ © (16.03.14 16:06) [32]

под веб-морду нет перспектив перевести? и потом в облако, продавать как saas

← →
Пит (2014-03-16 16:14) [35]

> но в 32 битах становится тесно

конечно, пока твоя VM все распакует - у пользователя место то и закончится в ВАП )))

← →
Rouse_ © (2014-03-16 16:28) [36]

> antonn © (16.03.14 16:09) [34]
> под веб-морду нет перспектив перевести? и потом в облако,
> продавать как saas

Как один из вариантов, за сообветствующие деньги в виде отдельного продукта.

> Пит (16.03.14 16:14) [35]
> конечно, пока твоя VM все распакует - у пользователя место
> то и закончится в ВАП )))

Мы не пакуем код исполняемых файлов - смысла особого в этом нет.

← →
Дмитрий СС (2014-03-16 17:03) [37]

> в 32 битах становится тесно

Все-таки, почему тесно?

← →
Rouse_ © (2014-03-16 17:18) [38]

> Дмитрий СС (16.03.14 17:03) [37]

Ввели новые режимы работы (акты), народу понравилось и он начал юзать эту фишку в хвост и гриву, а каждый акт - это по сути полноценная смета, но старые акты никто не удаляет (по ним динамику строят). Встречаются такие сметы что отьедают в районе полутора гигов (с сотней другой актов).
Доступных 3 гигов стало не хватать.

← →
Пит (2014-03-16 19:22) [39]

Ну все равно таки видятся проблемы в алгоритмах, архитектуре или типа того.

← →
KSergey © (2014-03-16 19:32) [40]

> Rouse_ © (16.03.14 17:18) [38]
> Доступных 3 гигов стало не хватать.

На x64 винде можно получать 4 Гб 32-х битному приложению. Этим спасаемся
Плюс маппинг файл на память - там много больше 4 Гб удается пользовать (но вроде постранично?).
Так и спасаемся, т.к. на 64 бита переехать - крайне не просто, оказалось.

← →
Пит (2014-03-16 19:50) [41]

поделитесь - что же вы такое пишите, что не хватает 32 бита?

Нету ли архитектурной ошибки, что для выдачи пользователю того, что он хочет - можно было бы обойтись и меньшими ресурсами?

← →
Rouse_ © (2014-03-16 20:12) [42]

> Пит (16.03.14 19:50) [41]
> поделитесь - что же вы такое пишите, что не хватает 32 бита?
>

Во первых этим я уже поделился, а во вторых что ты хочешь мне сейчас предложить? Переписывать архитектуру? Нет уж увольте, с архитектурой там все в порядке, да и собственно это вообще к сути вопроса не относится.

← →
Kerk © (2014-03-16 20:51) [43]

> Пит (16.03.14 19:50) [41]

Ну вот допустим у них там архитектурная ошибка. И вот что? :) Есть проблема - надо ее решать. Если проще перейти на 64бита, значит надо оставить архитектуру как есть и переходить на 64бита.

← →
DVM © (2014-03-16 21:19) [44]

> KSergey © (16.03.14 19:32) [40]

> Плюс маппинг файл на память - там много больше 4 Гб удается
> пользовать (но вроде постранично?).

Указатель 32 битный, волшебства не будет.
Кусками никто не мешает маппить и на 32 бит системе.

← →
Пит (2014-03-17 07:46) [45]

> что ты хочешь мне сейчас предложить? Переписывать архитектуру?

ничего не хочу предложить, в этой ветке не сделал ни одного предложения

> да и собственно это вообще к сути вопроса не относится.

Розыч, третья страница! Найди в своей огромной душе немного места для милосердия ))

← →
Пит (2014-03-17 07:47) [46]

> Если проще перейти на 64бита, значит надо оставить архитектуру
> как есть и переходить на 64бита.

согласен с тобой

← →
Rouse_ © (2014-03-17 21:06) [47]

> Пит (15.03.14 22:12) [12]
> даже интересно - найдешь ли

Вот блин, а Миха вполне может быть и прав :(

← →
картман © (2014-03-17 21:32) [48]

> Rouse_ © (17.03.14 21:06) [47]
>
>
> > Пит (15.03.14 22:12) [12]
> > даже интересно - найдешь ли
>
> Вот блин, а Миха вполне может быть и прав :(

а смайлик не тот поставил;)

← →
Dennis I. Komarov © (2014-03-17 21:56) [49]

> Вот блин, а Миха вполне может быть и прав :(

Что, все тест завалили? :)
Вот тебе реальное условие чтобы получить джинсы :)

← →
Константин © (2014-03-17 22:12) [50]

у меня только опыт взлома. могу взломать че-угодно, вопрос лишь во времени.
Подойду?

← →
Rouse_ © (2014-03-17 22:17) [51]

> Константин © (17.03.14 22:12) [50]
> у меня только опыт взлома. могу взломать че-угодно, вопрос
> лишь во времени.
> Подойду?

Вполне возможно - пиши по адресу в первом посте.

← →
Игорь Шевченко © (2014-03-17 22:44) [52]

Константин © (17.03.14 22:12) [50]

> вопрос лишь во времени.

Но взломаешь именно ты, да ? Не правнуки ?

← →
Пит (2014-03-18 00:28) [53]

думаю, в рамках конторы Розыч из Жэки такого спеца через полгода/год сделает. Только как Жэке объяснить нафиг ему это нужно :)

← →
Константин © (2014-03-18 01:07) [54]

> Игорь Шевченко © (17.03.14 22:44) [52]

сложный вопрос - ведь правнуки, они и генетически слегка я, и опыт мой у них будет...
а вероятность этого высока - что-то все очень долго делаю...

← →
antonn © (2014-03-18 08:49) [55]

> сложный вопрос - ведь правнуки, они и генетически слегка я, и опыт мой у них будет...

опыт - вещь не наследственная, его передавать надо путем обучения :)

← →
Rouse_ © (2014-03-18 13:06) [56]

> Пит (18.03.14 00:28) [53]

Жека не хочет, ему C# больше нравится чем асм :)

← →
Romkin © (2014-03-18 13:23) [57]

> Жека не хочет, ему C# больше нравится чем асм :)

Извращенец. Ладно бы что приличное, а то - С# ;)

← →
antonn © (2014-03-18 14:49) [58]

щас, по моему, на шарпе проще найти работу с бОльшей зарплатой. тут уже не до приличий :)

← →
Romkin © (2014-03-18 15:19) [59]

Да можно сказать, что C# нравится больше чем java или delphi. Но "нравится больше чем ассемблер" - это уж моветон. Ну как сказать что VB нравится больше pure pascal, например.

← →
имя (2014-03-18 15:58) [60]

Удалено модератором

← →
Германн © (2014-03-18 16:19) [61]

Удалено модератором

← →
ТНЕ картман (2014-03-18 17:16) [62]

> Германн © (18.03.14 16:19) [61]
>
> А смету можно и в Ёкселе посчитать.

или в них: http://ru.wikipedia.org/wiki/TOP500 ...

← →
jack128_ (2014-03-18 17:30) [63]

> А смету можно и в Ёкселе посчитать.

Только Ёксель нужен будет 64х битный :-)

← →
Пит (2014-03-18 17:47) [64]

> Только Ёксель нужен будет 64х битный :-)

кстати, хотя MS и выпустила office 64-битный, она по-моему до сих пор всем рекомендует пользоваться 32-битным, а использовать 64 бита если только очень очень надо.

← →
Kerk © (2014-03-18 18:12) [65]

https://pbs.twimg.com/media/BinNLfkCYAA8xS2.png

← →
Rouse_ © (2014-03-18 18:59) [66]

> Шило в п (18.03.14 15:58) [60]
> Коли 4Гб ОЗУ не хватает - сложно назвать такую архитектуру
> "в порядке"

Ну что значит не хватает - пока хватает, но тесно :)
Под новые фичи памяти уже не достаточно.
А так память жрется честно (практически чистые данные + накладные расходы в районе 20 процентов).

← →
@!!ex © (2014-03-18 19:24) [67]

Вот читаю вакансию и понимаю, что я со своим опытом работы реверс инженером и хобби в виде взлома всякого мусора и близко не подхожу....
Сложно представить много людей с описанным опытом...

> Коли 4Гб ОЗУ не хватает - сложно назвать такую архитектуру
> "в порядке"

Для таких утверждений надо знать что умеет софт и как работает.
Просто вот так вот в воздух кинуть свое высказывание - мало чего стоит.

← →
Rouse_ © (2014-03-18 20:10) [68]

> @!!ex © (18.03.14 19:24) [67]
> Вот читаю вакансию и понимаю, что я со своим опытом работы
> реверс инженером и хобби в виде взлома всякого мусора и
> близко не подхожу....
> Сложно представить много людей с описанным опытом...

Как минимум только на этом форуме есть 6 человек известных мне, подходящих под описание. Люди есть - но к сожалению они сильно востребованы и их просто так заполучить не получается...

← →
Styx (2014-03-18 20:14) [69]

> Шило в п (18.03.14 15:58) [60]
> Коли 4Гб ОЗУ не хватает - сложно назвать такую архитектуру
> "в порядке"

Лишние ещё, скажем, 4 ГБ ОЗУ * кол-во пользователей наверняка обойдутся дешевле переделывания архитектуры. Такова жизнь.

← →
Rouse_ © (2014-03-18 20:22) [70]

> Styx (18.03.14 20:14) [69]
> Лишние ещё, скажем, 4 ГБ ОЗУ * кол-во пользователей наверняка
> обойдутся дешевле переделывания архитектуры. Такова жизнь.

В точку попал, собственно основной фикус, это кол-во пользователей под расширяемую терминальную систему на тонком клиенте. Жрать серверная часть (так-же стоящая у корпоративных клиентов) будет ой сколько...

← →
Пит (2014-03-18 21:45) [71]

> Лишние ещё, скажем, 4 ГБ ОЗУ * кол-во пользователей наверняка
> обойдутся дешевле переделывания архитектуры

Одно дело - это наличие физической памяти на компьютере, тут вопросов нету - по стоимости хоть сотню гигабайт ставь, винда готова.

Другое дело - это архитектура программы, если она 32-бита, то она физически не сможет работать более, чем с 4 Гб памяти (ВАП). И перевод сложного ПО на 64-бита это куда круче, чем докупить XXX-гигов памяти.

Впрочем, если речь идет о серверном решении - я Розыча понимаю, может быть вполне актуально, тут только и успевай количество памяти умножать на количество пользователей (что не отменяет речь об оптимизации).

← →
Пит (2014-03-18 21:51) [72]

> я со своим опытом работы реверс инженером и хобби в виде
> взлома всякого мусора и близко не подхожу....

я практически уверен, что вакансия Розыча ничем не окончится в смысле готового к работе спеца. При хорошем стечении обстоятельств это будет мотивированный, обладающий некоей нужной квалификацией программер, которого Розыч будет еще допиливать некоторое количество месяцев. С одной стороны, потому что грандовцы извратили такую защиту, что в России аналога, наверное, и нету. С другой стороны, собсна, потому что им нужен российский специалист ) Подавляющее количество ПО в России является специализированным и ориентированным на конкретного заказчика, где проблема защиты не стоит. Плюс веб, где технология монетизации несколько иная.
А тут гранд, со своим сто процентно не взламываемом ПО со всеми плюсами и минусами. Редкость, как ни крути.

← →
Rouse_ © (2014-03-18 22:04) [73]

> Другое дело - это архитектура программы, если она 32-бита,
> то она физически не сможет работать более, чем с 4 Гб памяти
> (ВАП). И перевод сложного ПО на 64-бита это куда круче,
> чем докупить XXX-гигов памяти.

Это ты зря. 32 приложение может работать хоть с террабайтом памяти AWE никто не отменял.

> С одной стороны, потому что грандовцы извратили такую защиту,
> что в России аналога, наверное, и нету.

Есть, Взять теж "СуперОкна".
Я уж не говорю о VM Старика (который, из-за неумения правильно использовать, скатился скорее в страшилку плана "У вас старфорс - тогда мы идем к вам").

> Подавляющее количество ПО в России является специализированным
> и ориентированным на конкретного заказчика, где проблема
> защиты не стоит.

Хм, я не знаю ни одного сметного или бухгалтерсого ПО, где эта проблема не была бы острой. Другой вопрос в качестве защиты - здесь пока что мы одни из лучших.

← →
Пит (2014-03-18 22:18) [74]

> 32 приложение может работать хоть с террабайтом памяти AWE
> никто не отменял.

ну так то да. Но с тем же успехом ты можешь сказать, что с помощью WinExec дельфи может запускать подпрограммы, которые будут работать в своем ВАП, при помощи чего доступная "программерская" память будет стремиться к бесконечности и возможностям ОС. Но ведь на этом пути куча сложностей.

> я не знаю ни одного сметного или бухгалтерсого ПО, где эта
> проблема не была бы острой

в любом зарабатывании денег остро встает вопрос, когда тебя этого зарабатывания лишают, о чем тут разговор? ...

Но я знаю только гранд, который пошел на такие меры по обеспечению защиты. Во сколько это в результате вылилось вашим клиентам - это отдельный серьезный вопрос. Других аналогов просто не знаю. Возможно, они есть.
И отсюда некий вывод по теме топика - соответствующего спеца по защите искать будет тяжело, потому что практика защиты - нестандартная.

← →
Rouse_ © (2014-03-18 22:50) [75]

> Во сколько это в результате вылилось вашим клиентам

Ну по первости были проблемы с антивирами, но это решилось в течении месяца. А так насущных именно технических проблем давно не наблюдается, даже с симантиком (он очень сильно пищал на применение явно вирусных технологий в ядре защиты).

> соответствующего спеца по защите искать будет тяжело, потому
> что практика защиты - нестандартная.

Это согласен, но думаю все получится...

← →
Шило в п (2014-03-19 10:20) [76]

> Rouse_ ©

Найми спеца на другую деятельность, а сам займись поддержкой x64/ARM

← →
Eraser © (2014-03-19 14:05) [77]

> Пит (18.03.14 22:18) [74]

> Но я знаю только гранд, который пошел на такие меры по обеспечению
> защиты. Во сколько это в результате вылилось вашим клиентам
> - это отдельный серьезный вопрос. Других аналогов просто
> не знаю. Возможно, они есть.

куда проще вынести критичную часть функционала онлайн. в т.ч. поиск. но есть свои минусы.

> Rouse_ © (18.03.14 22:50) [75]

а что если приложение разделить на 2 модуля - основной 64 разрядный и часть функционала в 32 разрядный с уже проверенной защитой? связывать их между собой через что угодно, хоть через named pipes.

← →
ТимоховД (2014-03-19 15:17) [78]

Честно говоря, интересно - неужели можно пообещав хорошие условия вот так взять, и найти второго себя?! Второго Розыча, посадить его за компьютер, мысленно передать ему свое виденье задачи и через год-полтора получить результат...

Розыч, сообщи потом результат, плз. Мне вот давно пара сусликов нужна еще в довесок к одному имеющемуся!!!!!

← →
Ega23 © (2014-03-19 15:23) [79]

Удалено модератором

← →
Германн © (2014-03-19 15:26) [80]

Удалено модератором

← →
имя (2014-03-19 18:04) [81]

Удалено модератором

← →
Rouse_ © (2014-03-19 19:26) [82]

> а что если приложение разделить на 2 модуля - основной 64
> разрядный и часть функционала в 32 разрядный с уже проверенной
> защитой? связывать их между собой через что угодно, хоть
> через named pipes.

Была такая мысль - отказался по множеству причин (не буду озвучивать).
Впрочем если только одну: сильное ослабление защиты.

> ТимоховД (19.03.14 15:17) [78]
> Честно говоря, интересно - неужели можно пообещав хорошие
> условия вот так взять, и найти второго себя?!

Можно, к примеру сейчас тестирую вот этого товарища:
http://ntvisigoth.blogspot.ru/p/blog-page.html

Правда Дельфи у него не очень (5 лет с ним не работал - код сыроват), но остальное вполне подходит под мои хотелки.
Щас вот размышляю.

ЗЫ: а че тут было что все потерли, а то я в запарке второй день - на форум только вечерами заглядываю? :)

← →
Германн © (2014-03-19 20:06) [83]

> Правда Дельфи у него не очень (5 лет с ним не работал -
> код сыроват)

Ну если не упертый Сишник, сойдет. Если ассемблер знает.

← →
Пектрович (2014-03-19 20:28) [84]

> http://ntvisigoth.blogspot.ru/p/blog-page.html

тестировщик? Может чел со сцены?

← →
Rouse_ © (2014-03-19 20:29) [85]

> Германн © (19.03.14 20:06) [83]
> Ну если не упертый Сишник, сойдет. Если ассемблер знает.

Ну протектор то по любому будет на С++ писаться, так что здесь скорее плюс чем наоборот. А асма в нашей профессии не знать - эт моветон :)

← →
Rouse_ © (2014-03-19 20:32) [86]

> Пектрович (19.03.14 20:28) [84]
> тестировщик? Может чел со сцены?

Не со сцены, это я первым делом поузнавал.
Парень отработал в Каспере и щас пишет софт для конкурентов Elcomsoft-а (забыл название их конторы). Квалификация сам понимаешь - космонавтов туда не берут :)
А тест - это не тест софта, а тест на уязвимости.

← →
antonn © (2014-03-19 20:40) [87]

> В точку попал, собственно основной фикус, это кол-во пользователей
> под расширяемую терминальную систему на тонком клиенте.
> Жрать серверная часть (так-же стоящая у корпоративных клиентов)
> будет ой сколько...

если рассчитывать на одно серверное ядро которое все переваривает и отдает "тонким клиентам" - то я про это и говорил, вместо того чтобы делать полностью в пользовательском процессе

← →
Пит (2014-03-19 20:55) [88]

> Ну протектор то по любому будет на С++ писаться

а это почему?

← →
Rouse_ © (2014-03-19 21:01) [89]

> Пит (19.03.14 20:55) [88]

Есть готовые фрейворки асма/дизасма от производителей.
Как минимум снизит времязатраты на реализацию.

← →
Германн © (2014-03-19 21:25) [90]

> Rouse_ © (19.03.14 20:29) [85]
>
>
> > Германн © (19.03.14 20:06) [83]
> > Ну если не упертый Сишник, сойдет. Если ассемблер знает.
>
>
> Ну протектор то по любому будет на С++ писаться, так что
> здесь скорее плюс чем наоборот.

Да не. Я про твои слова "Дельфи у него не очень". Разберется. Вряд ли вы его сразу нагрузите тонкостями Дельфи.

← →
Пит (2014-03-20 00:12) [91]

> Есть готовые фрейворки асма/дизасма от производителей.

асма дизасма кого? Кода C++? А зачем дизассемблировать собственный С++ код?

← →
Inovet © (2014-03-20 05:08) [92]

> [84] Пектрович (19.03.14 20:28)
> Может чел со сцены?

Это кто такие?

← →
Inovet © (2014-03-20 05:11) [93]

> [91] Пит (20.03.14 00:12)

Вероятно написанные на Си++.

← →
Юрий Зотов © (2014-03-20 07:17) [94]

> Rouse_ © (19.03.14 20:29) [85]
> А асма в нашей профессии не знать - эт моветон :)

Кому в той же ГрандСмете реально необходим Асм, кроме тебя?

← →
Inovet © (2014-03-20 07:19) [95]

> [94] Юрий Зотов © (20.03.14 07:17)

Так Розыч о своей специфике и говорит.

← →
Rouse_ © (2014-03-20 10:27) [96]

> Пит (20.03.14 00:12) [91]
> асма дизасма кого? Кода C++?

Какого нафиг С++? :))) Дизасм из машинного кода и ассемблирование в машинный код.

← →
brother © (2014-03-20 10:48) [97]

Удалено модератором

← →
Мальчик с пальчик (2014-03-20 13:00) [98]

Удалено модератором

← →
Inovet © (2014-03-20 13:41) [99]

Удалено модератором

← →
Германн © (2014-03-21 02:17) [100]

Удалено модератором

← →
картман © (2014-03-21 18:39) [101]

Удалено модератором

← →
brother © (2014-03-22 07:45) [102]

Удалено модератором

← →
Пит (2014-03-22 21:13) [103]

> Дизасм из машинного кода и ассемблирование в машинный код

а разве это не примитивная задача?
Там вроде несколько десятков инструкций, да и все... Машинный код и есть ассемблер, просто там байты команд, а тут человеко понятные слова.
Если будешь отвечать - то поясни как идиоту )

← →
Rouse_ © (2014-03-22 21:34) [104]

> Пит (22.03.14 21:13) [103]
>
> > Дизасм из машинного кода и ассемблирование в машинный
> код
>
> а разве это не примитивная задача?
> Там вроде несколько десятков инструкций, да и все... Машинный
> код и есть ассемблер, просто там байты команд, а тут человеко
> понятные слова.
> Если будешь отвечать - то поясни как идиоту )

Отвечаю (не как идиоту, а как заинтересовавшемуся).
Реализация дизасма по сути примитивная но очень нудная задача.
Команд там конечно не десяток и даже не сотня.

Да и байты в асм не совсем по табличке преобразуются, нужно разбирать всю инструкцию, которая состоит из префиксов/опкода(ов)/ModRM/Sib (максимальная длина одной инструкции в 32 битах - 14 байт)

Для 32 битного дизасма это выливается примерно вот в это: http://rouse.drkb.ru/tmp/fwdisasm.zip

Обрати внимание на таблицу и ее размер в модуле FWDisasmConsts, там где-то в самом начале даже список команд есть - до которых руки не добрались.
А теперь всю эту фигню умножь на два, т.к. теперь появились 64 битные инструкции со своей мнемоникой, которая не поддерживается пока что движком в модуле FWDisassembler.pas

А нужно работать в обе стороны, т.е. чтобы модуль FWAssembler.pas тоже был рабочим (а там только первоначальный анализ даже не до конца выполнен).

← →
Пит (2014-03-22 22:22) [105]

а, я понял. То есть, это примитивно, но трудоемко.

← →
Пит (2014-03-22 22:24) [106]

еще попытаюсь )

А что, если откомпилить с++ код и слинковать его с дельфи-кодом? )

← →
Rouse_ © (2014-03-22 23:03) [107]

> Пит (22.03.14 22:22) [105]
> а, я понял. То есть, это примитивно, но трудоемко.

По порядку:
примитивно трудоемко, да еще архитектуру правильную нужно выстроить.
К примеру то что по ссылке нельзя никак анализировать, бо оно выдает наружу только асм-листинг.
Когда я понял что ошибся в этом моменте (эт 2009-ый год был) было немного позновато, но выход все-равно был. На тот момент я написал маленький статический анализатор листинга, выдаваемого декомпилером, который строит пи-граф и передает его на так-же не слишком сложный морфер графа, а результат сохраняется ввиде текстового асмфайла, отдаваемого на исполнение в FASM, который уже генерирует обьектник в требуемом формате.
Т.о. код ассемблирующего движка не потребовался (а тот обьектник до сих пор используется в боевом продукте).

> Пит (22.03.14 22:24) [106]
> А что, если откомпилить с++ код и слинковать его с дельфи-
> кодом? )

А что это нам даст? Мне в принципе синефиолетово на чем писать, на сях или на дельфе или на асме, а вот второго участника команды (который дельфю знает, но в основном работал на сях) сей факт может опечалить.

← →
Пит (2014-03-22 23:53) [108]

> А что это нам даст?

То, что не нужен сишник. Я думаю, экспортировать функционал фреймворка точно проще, чем написать самому подобное на дельфи, а может быть очень просто.
Поэтому, как вариант, снимается потребность в знания с++.

С другой стороны, человек знающий твою тему - наверняка и плюсы знает.

← →
Rouse_ © (2014-03-24 23:24) [109]

> Пит (22.03.14 23:53) [108]
> С другой стороны, человек знающий твою тему - наверняка
> и плюсы знает.

Тут немного другое нужно, знания сила - согласен.
Но опыт и практика иногда более важны.

К примеру мне нужно чтобы человек умел написать граф исполнения взламываемой VM: http://rouse.drkb.ru/tmp/vm.png
И провести его анализ: http://rouse.drkb.ru/tmp/vm1.png
(скрины сегодняшние с боевой задачи - идет анализ стойкости защиты)

Если таковые знания отсутствуют - человек не сможет написать собственную ВМ, ибо он просто не представляет методов ее взлома.

← →
Rouse_ © (2014-03-24 23:30) [110]

ЗЫ: все что на картинках было написано за три с половиной часа (трасса исполнения снималась ранее).
Если над такой простой задачкой работник будет рассусоливать по несколько суток - то у его нафих с таким работником.

← →
Пит (2014-03-25 14:27) [111]

ну и как идет процесс хантинга? )

← →
Rouse_ © (2014-03-25 14:49) [112]

Не очень, ес чесно :(
Трое отвалилсь по профнепригодности, вот курю последнего.
Даж хз че дальше делать...

← →
ТНЕ картман (2014-03-25 16:47) [113]

Удалено модератором

> ес чесно

> Даж хз че дальше делать

Маленький злой собачка на язык наступил ?

Rouse_ © (25.03.14 17:41) [115]

"Еще не хотелось бы видеть открытого коверканья русского языка, использования уличного сленга. Это конечно не наказуемо, но помните, что Ваши слова будут читать люди, которые с ними могут быть незнакомы, или они им просто неприятны.
"
http://www.delphimaster.ru/forums.shtml

← →
Дмитрий СС (2014-03-25 17:52) [117]

> профнепригодности

Рук/глаз что-ли нет? :)

> Дмитрий СС (25.03.14 17:52) [117]
> Рук/глаз что-ли нет? :)

Тесты не прошли.
Двое не смогли запустить в отладчике кракмикс со сбитой точкой входа.
Третий открыть смог, и даже сдампил образ, но запутался с восстановлением таблицы импорта.
До анализа логики работы дело даже не дошло.

> Игорь Шевченко © (25.03.14 17:49) [116]

Принято и пардоньте, я просто девятый день в суровой отладке (с семи утра и до почти поздней ночи без выходных). Голова уже просто отключается местами...

← →
Дмитрий СС (2014-03-25 19:41) [120]

> Тесты не прошли.

Бесперспективно? Неужели научить нельзя?

← →
Rouse__ (2014-03-25 19:45) [121]

Ну я ж не студента ищу, которого учить нужно...

← →
Дмитрий СС (2014-03-25 19:49) [122]

> Rouse__ (25.03.14 19:45) [121]

Пользуясь случаем, у тебя случайно нет примера перехвата, который работает следующим образом:
1. Запоминает начало перехватываемой функции.
2. Вставляет вместо начала push/ret на обработчик.
Но такую, чтобы после выполнения обработчика выполнялись запомненные инструкции, а потом делался возврат на оригинальную функцию со смещением.

Тут основная задача определить смещение, чтобы между инструкций не вернуть.

Ну или примера подмены таблиц импорта всех загруженных в процесс библиотек.

← →
Rouse__ (2014-03-25 19:53) [123]

У меня в блоге про перехват почитай, там две статьи

← →
Дмитрий СС (2014-03-25 20:09) [124]

> Rouse__ (25.03.14 19:53) [123]
> У меня в блоге про перехват почитай, там две статьи

Microsoft гарантирует только то, что перед ними всегда будет пять инструкций NOP и каждая такая функция будет начинаться с двухбайтовой инструкции.
Смотрю функцию ShowWindow, которую мне нужно перехватить:
76CD0DF5 C3 ret 76CD0DF6 90 nop 76CD0DF7 90 nop 76CD0DF8 90 nop 76CD0DF9 90 nop 76CD0DFA 90 nop 76CD0DFB B858100000 mov eax,$00001058 <--- ShowWindow 76CD0E00 B908000000 mov ecx,$00000008 76CD0E05 8D542404 lea edx,[esp+$04] 76CD0E09 64FF15C0000000 call dword ptr fs:[$000000c0] 76CD0E10 83C404 add esp,$04 76CD0E13 C20800 ret $0008 76CD0E16 90 nop 76CD0E17 90 nop 76CD0E18 90 nop 76CD0E19 90 nop 76CD0E1A 90 nop 76CD0E1B 8BFF mov edi,edi

Пошел читать дальше.

> Дмитрий СС (25.03.14 20:09) [124]

У тебя 64 битная винда (виден вызов Wow64 FS:[$C0]) статья писалась под 32 бита.

← →
Дмитрий СС (2014-03-25 21:00) [126]

Rouse_ © (25.03.14 20:53) [125]
nop-в, главное, добавили. Что мешало добавить двухбайтную инструкцию не ясно.

Но спасибо!

← →
Пит (2014-03-25 21:57) [127]

> Двое не смогли запустить в отладчике кракмикс со сбитой
> точкой входа.
> Третий открыть смог, и даже сдампил образ, но запутался
> с восстановлением таблицы импорта.

Розыч, дык не приходила мысль в голову, что твою защиту не ломают уже пятый год, потому что эта защита - неуловимый джо из анекдота? :)

← →
Rouse__ (2014-03-25 21:58) [128]

Приходило конечно, 200 тыщ пользователей это подтверждают что софт не нужный :)

> 200 тыщ пользователей это подтверждают

И эти 200 тыщ совместно заплатили хакерам чтобы те не ломали программу. Иначе все 200 тыщ окажутся в дураках, если 200,001-й получит её даром. )

← →
Дмитрий СС (2014-03-25 22:31) [130]

Ура перехватил я свой ShowWindow, а также и текст с лейбла окна:) Код, если хотите, могу выложить)

Простите, что тут пишу, но тему заводить не хочется, а Розыч, к сожалению, вряд ли тут уже кого-то найдет.

> Ура перехватил я свой ShowWindow, а также и текст с лейбла
> окна:)

ну если лейбл не окно - то ты крут :)

← →
Дмитрий СС (2014-03-26 00:41) [132]

Не окно. Но у меня преемущество есть. Я точно знаю компилятор в котором собрали прогу, этим и воспользовался.

← →
Пит (2014-03-26 12:50) [133]

> Приходило конечно, 200 тыщ пользователей это подтверждают
> что софт не нужный :)
>

ты передергиваешь. Я не говорил, что софт не нужный. Я говорил о том, что никто не собирается всерьез ломать твою защиту. Пять лет без взломов в принципе это подтверждают, защита оверскильная.

То есть, если даже криптостойкость снизится раза в два, возможно все равно её в течении пары лет никто и не взломает, чего будет достаточно.

> Пит (26.03.14 12:50) [133]
> Пять лет без взломов

Ломали ее. Несколько лет назад сам видел на рынке взломанную.

← →
Василий Иванов (2014-03-26 14:43) [135]

> Юрий Зотов © (26.03.14 13:33) [134]
>
> > Пит (26.03.14 12:50) [133]
> > Пять лет без взломов
>
> Ломали ее. Несколько лет назад сам видел на рынке взломанную.
>

Rouse как-то говорил, что сам помогал ее ломать))

> [134] Юрий Зотов © (26.03.14 13:33)
> Ломали ее.

Это был хитрый ход. Появилась в сети и на рынках якобы взломанная, а на самом деле передавала информацию о факте своей установки, чтобы узнать количество потенциальных покупателей. Потом через пару месяцев вдруг переставала работать.

← →
jack128_ (2014-03-26 15:49) [137]

> Ломали ее. Несколько лет назад сам видел на рынке взломанную.

ну дык несколько лет назад её последний раз и ломали. К слову, некоторые товарищи разводят "кроликов" простым способом. Берут ломаную столетней давности прогу, меняют в ней метку версии программы на актуальную и впаривают как супер-пупер современную.

> То есть, если даже криптостойкость снизится раза в два,
> возможно все равно её в течении пары лет никто и не взломает,
> чего будет достаточно.

Я логики не понимаю, ты предлагаешь снижать качество уже существующей защиты? Или что?

> Пит (26.03.14 12:50) [133]
> То есть, если даже криптостойкость снизится раза в два,
> возможно все равно её в течении пары лет никто и не взломает,
> чего будет достаточно.

Этого делать нельзя, и тот момент из-за которого не могут взломать должен остаться нетронутым в 64 битной версии. Там целиковое ядро - шаг в сторону и дырень размером в паровоз, куда каждый при соответствующей квалификации влезть сможет.

> > Пит (26.03.14 12:50) [133]

А впрочем, я тут с Жекой сегодня посовещался.
Пока болею и дома сижу накатаю статейку по взлому одного реципиента.
Причем со всеми причиндалами, тут и защита от загрузки в отлачик, и мусорный полиморф и виртуальная машина с мусорными инструкциями и хитрым деобфусцирующим подходом логики выполнения инструкций.
Чисто с целью показать как вообще может строится защита (причем этот вариант мне понравился) и как она анализируется и обходится.

← →
Пит (2014-03-27 19:11) [140]

Короче нафиг эти защиты, все равно розыч все поломает )

Я не понял, зачем статья, которая учит ломать защиту. Статьи в УК нет за это еще?

> Пит (27.03.14 19:11) [140]
> Короче нафиг эти защиты, все равно розыч все поломает )

В 90 проценов случаем конечно взломаю - работа такая.

> Компромисс1 © (27.03.14 19:16) [141]
> Я не понял, зачем статья, которая учит ломать защиту. Статьи
> в УК нет за это еще?

Это специально подготовленное ПО для взлома, УК на это дело не распространяется.
Смысл статьи дать представление человеку, защищаему ПО, как нужно делать защиту и как не допустить ошибок в ее проектировании...

← →
ТНЕ картман (2014-03-27 19:27) [143]

> как нужно делать защиту и как не допустить ошибок в ее проектировании.
> ..

а ты сам свою защиту взломаешь?

> ТНЕ картман (27.03.14 19:27) [143]
> а ты сам свою защиту взломаешь?

К сожалению - нет...

ЗЫ: но хотелось бы :))

Ты ссылку обещал про ГСЧ в новых Intel Ivy Bridge когда уже? Что-то про аппаратную закладку, что уже известно, как её активировать, чтобы последовательность из ИСЧ становилась предсказуемой.

← →
Rouse__ (2014-03-27 19:43) [147]

Здрасссь давал же

> Здрасссь давал же

Не было.

> [147] Rouse__ (27.03.14 19:43)
> Здрасссь давал же

Ты давал на какие-то общие рассуждения типа - технически можно сделать закладку, ну вот если они там сделали закладку, то тогда ей можно пользоваться (им). А потом обещал на конкретно расковырянную такую возможность по хитрой инициализации регистров.
http://delphimaster.net/view/1-1391451971/

А, понял - обещал, было дело :)

← →
имя (2014-03-28 03:18) [151]

Удалено модератором

← →
Герменн (2014-03-28 03:20) [152]

"статейку по взлому одного реципиента" почитаю с удовольствием.
P.S. Случайно нажал Enter не вовремя. :(

> Rouse__ (25.03.14 19:45) [121]
>
> Ну я ж не студента ищу, которого учить нужно...

точняк! Сама судьба зовет тебя в преподы - о твоих зачетах(экзаменов не будет - ВУЗ не концлагерь, все ж) будут легенды складывать))

← →
Пит (2014-03-31 15:48) [154]

кстати, да, мне кажется из Розыча получится прикольный преподаватель ) Немного вспыльчивый, конечно, но знания донести, я думаю, сумеет )

Мож в ВУЗ на пол ставки?

> из Розыча получится прикольный преподаватель

у него разговор будет короткий. За отладчик, и пока кракмикс со сбитой точкой входа не запустит, зачета не будет

← →
имя (2014-04-01 08:42) [156]

Удалено модератором

> картман © (30.03.14 23:15) [153]
> точняк! Сама судьба зовет тебя в преподы - о твоих зачетах(экзаменов
> не будет - ВУЗ не концлагерь, все ж) будут легенды складывать))

Не, я не из тех "кто не умеет - тот учит" :)

> Пит (31.03.14 15:48) [154]
> кстати, да, мне кажется из Розыча получится прикольный преподаватель
> ) Немного вспыльчивый, конечно, но знания донести, я думаю,
> сумеет )

Плохой получится, плавали - знаем ;)

> clickmaker © (31.03.14 15:55) [155]
> у него разговор будет короткий. За отладчик, и пока кракмикс
> со сбитой точкой входа не запустит, зачета не будет

А почему бы и нет? Это не совсем просто как кажется, воть небольшой препринт готовящейся статьи, где можно поиметь кучу головной боли только до выхода на VM, я уж не говорю что это все просто семечки по сравнению с ее разбором :)
https://rouse-debug.blogspot.com/b/post-preview?token=4kSeJEUBAAA.ePqoTvorHU2apBfaKfOS_g.F0KMCrnQixhZg8z0OPvm4w&postId=4 686784597048675067&type=POST

А, не так не пустит, тогда вот так: http://rouse-debug.blogspot.ru/2014/04/blog-post.html

← →
ТНЕ картман (2014-04-02 19:32) [159]

> ТНЕ картман (02.04.14 19:32) [159]

Не понял вопроса.

>
> Rouse_ © (02.04.14 19:42) [160]

от адреса к адресу нужно переходить - легко запутаться, да и долго, нельзя ли написать приложение, которое бы выдавало потенциально интересные "пути" - картинку, например, что под этим текстом:
Остальные 4 поля используются для реализации команд MOV + JMP. Вот на этой картинке это показано более наглядно.

так сказать собирать и показать в удобном виде. Или всегда частный случай?

Всегда частный случай, конечно, тут приложение вообще очень сильно руками перелопачено.
Можно конечно написать все и на автомате, есть такой софт - антивирусами зовутся :)
А так все эти этапы что я так долго описываю человек с подготовкой проходит в районе 8-15 минут (мне хватило трех, когда я взялся за анализ).
То что я так расписываю, так это только чтобы неподготовленный человек смог понять всю логику работы и самостоятельно пройти по всем этапам.

Вакансия: разработчик систем защиты ПО Найти похожие ветки