Эксперты из Касперского - Информационная безопасность

Здравствуйте, dmart, Вы писали:
D>Привет всем.

Пока, Дима.

Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать? Тем более приводя ссылку на отчет есета, где весь функционал и имена функций расписаны по самое не хочу... мы ж не только прочитать можем, мы еще и понимаем, что там написано. Ладно ты, геймдев это штука заразная, но брат-то твой компилеры писал. Поговори с ним, пусть он тебе хоть что-то объяснит, чтобы ты так не позорился на весь инет.

Здравствуйте, Abyx, Вы писали:

A>да, бинарник можно восстановить вплоть до осмысленных названий функций и переменных.
Восстановить можно имена классов исключений если они имеют виртуальный деструктор, они сохраняются в замангленном виде для RTTI. Имена функций и переменных уникального (не библиотечного) кода не восстанавливаются в принципе. Потому что в бинарнике их тупо нет ни в каком виде. Их можно самому заново придумать, но никак не восстановить.
Такие заново придуманные имена функций не могут быть основанием для экспертного заключения, ибо иначе можно все что угодно написать.

A>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике.
Строки да, но названий функций и переменных там нет если их специально туда не включали.

A>два куска кода можно сравнить, и даже если имена переменных не совпадают, можно сказать что
A>int add(int a, int b) { return a+b; }
A>имеет ту же функциональность что и
A>int sub1(int arg1, int arg2) { return arg1+arg2; }
Что-то я сомневаюсь что этот експерт делал такой весьма нетривиальный анализ. Для этого нужна действительно высокая квалификация, иначе можно взять пару библиотечных функций и каждую вторую программу признать малварей на том основании что оно местами похоже.

Здравствуйте, linuz, Вы писали:
A>>да, бинарник можно восстановить вплоть до осмысленных названий функций и переменных.
L>Восстановить можно имена классов исключений если они имеют виртуальный деструктор, они сохраняются в замангленном виде для RTTI. Имена функций и переменных уникального (не библиотечного) кода не восстанавливаются в принципе. Потому что в бинарнике их тупо нет ни в каком виде. Их можно самому заново придумать, но никак не восстановить.

Там мальчик выложил отчет ESET-а. Насколько я его понял, внутрях червя фреймворк для плагинов, то бишь некислая куча имен методов, классов и тому подобное там есть. Наверное, их и восстановили.

Здравствуйте, Abyx, Вы писали:

A>да, бинарник можно восстановить вплоть до осмысленных названий функций и переменных.
A>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике.

Угу, а еще паспортные данные автора. Коммерческие ботнеты же идиоты пишут.

A>два куска кода можно сравнить, и даже если имена переменных не совпадают, можно сказать что
A>int add(int a, int b) { return a+b; }
A>имеет ту же функциональность что и
A>int sub1(int arg1, int arg2) { return arg1+arg2; }

А это, скорее всего, заинлайнится и даже функцией не будет. Зато, в разных местах могут использоваться разные регистры и/или разная адресация, код может быть неидентичен.

Здравствуйте, Ромашка, Вы писали:

Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать? Тем более приводя ссылку на отчет есета, где весь функционал и имена функций расписаны по самое не хочу... мы ж не только прочитать можем, мы еще и понимаем, что там написано. Ладно ты, геймдев это штука заразная, но брат-то твой компилеры писал. Поговори с ним, пусть он тебе хоть что-то объяснит, чтобы ты так не позорился на весь инет.

Там совсем другое доказывали, что "эксперт" — фуфло. Говорит общие фразы, а как спрашивают конкретику — "я не помню", "это не требуется", и т.п.

Здравствуйте, dmart, Вы писали:

D>Интересно ваше мнение.

Наше мнение — ЖЖ автора пропитан баттхертом и из-за этого лишен объективности и иногда автор вообще невменяем.
Странно такую чущь тащить на программерский форум.

Простой пример

Да будет известно эксперту Ануфриеву, что компиляция – это процесс, происходящий с потерей данных, имена функций и переменных при трансляции в машинный код просто удаляются, сам же код оптимизируется и может быть частично изменён.

К примеру, inline функции – функция как таковая исчезает, а её код вставляется в места вызова этой inline функции, и многое-многое другое.

Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.

В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся.

Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml

Здравствуйте, Ромашка, Вы писали:

Р>Здравствуйте, dmart, Вы писали:
D>>Привет всем.

Р>Пока, Дима.

Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь?
вот цитата из текста по ссылке:

...если Вы откроете Ida Pro... Она может восстанавливать и наименования функций, она восстанавливает все библиотеки, системные. Более того, есть дополнительные модули, которые можно писать и самому, которые даже и в исходные коды часть могут вернуть.

вам не кажется, что это бред сивой кобылы? ida-pro -- черный ящик. восстановить имена функций она может только если это библиотечные функции или имена функций по тем или иным причинам присутствуют в бинарнике. однако, сходство имен функций ни о чем не говорит, т.к. нужно доказать, что это уникальные имена и они не принадлежат никакой другой программе, а присутствуют только в анализируемом бинарнике.

про исходные коды это бред в квадрате. компиляция это преобразование А, а декомпиляция это преобразование Б. между А и Б нет ничего общего. декомпиляция не есть процесс обратный компиляции.

Здравствуйте, мыщъх, Вы писали:
М>вам не кажется, что это бред сивой кобылы? ida-pro -- черный ящик. восстановить имена функций она может только если это библиотечные функции или имена функций по тем или иным причинам присутствуют в бинарнике. однако, сходство имен функций ни о чем не говорит, т.к. нужно доказать, что это уникальные имена и они не принадлежат никакой другой программе, а присутствуют только в анализируемом бинарнике.

Мыщъх, ты о них слишком хорошего мнения.

Здравствуйте, Ромашка, Вы писали:

Р>Здравствуйте, мыщъх, Вы писали:
М>>вам не кажется, что это бред сивой кобылы? ida-pro -- черный ящик. восстановить имена функций она может только если это библиотечные функции или имена функций по тем или иным причинам присутствуют в бинарнике. однако, сходство имен функций ни о чем не говорит, т.к. нужно доказать, что это уникальные имена и они не принадлежат никакой другой программе, а присутствуют только в анализируемом бинарнике.

Р>Мыщъх, ты о них слишком хорошего мнения.

Р>

Написал так радостно. А на самом деле очередную чушь. Это страка значит что был сгенерён pdb файл при компиляции, и ничего больше.
Иди ты считаешь что малварь распространяют с многомегабайтными pdb файлами, чтобы облегчить работу таких "экспертов" как Ануфриев?

Здравствуйте, dmart, Вы писали:
D>Написал так радостно. А на самом деле очередную чушь. Это страка значит что был сгенерён pdb файл при компиляции, и ничего больше.

Дима, это подпись. Это значит, что дальше сравнение бинарников можно проводить только и исключительно для того, чтобы срубить побольше бабла с заказчика.

D>Иди ты считаешь что малварь распространяют с многомегабайтными pdb файлами, чтобы облегчить работу таких "экспертов" как Ануфриев?

Я допускаю, что людям, оставившим такое в бинарнике, хватит на подобное дурости.

Здравствуйте, Ромашка, Вы писали:

Р>Дима, это подпись. Это значит, что дальше сравнение бинарников можно проводить только и исключительно для того, чтобы срубить побольше бабла с заказчика.
В строчке пути к pdb фамилия автора не написана. В экспертизе написано что исходники лежали в C:\Projects. Как-то не вяжется одно с другим.

Здравствуйте, linuz, Вы писали:
L>В строчке пути к pdb фамилия автора не написана. В экспертизе написано что исходники лежали в C:\Projects. Как-то не вяжется одно с другим.

Прочитал экспертизу. Сорри, почему-то думал, что сравнивают бинарники (разных версий?). Да, не вяжется. Да и пофиг, анализ ботнета есть, исходники есть, квалификация эксперта достаточна, чтобы связать одно с другим. Один черт исходников недостаточно, это только средство. Нужно доказывать сам факт совершения правонарушения. Если у следствия этого нет, то им ничего не будет, если у следствия это есть, то даже отсутствие исходников их не спасет.

ЗЫ. Дима, вы вообще серьезно? Вас поймали с исходниками крупнейшего ботнета и вы пытаетесь доказать, что это какой-то другой ботнет??? Это типа вас повязали с калашом в руках над еще теплым трупом и вы пытаетесь доказать, что у вас в руках не калаш, а ТТ потому-что "функционал совпадает"?

Здравствуйте, Ромашка, Вы писали:

Р>Здравствуйте, linuz, Вы писали:
L>>В строчке пути к pdb фамилия автора не написана. В экспертизе написано что исходники лежали в C:\Projects. Как-то не вяжется одно с другим.

Р>Прочитал экспертизу. Сорри, почему-то думал, что сравнивают бинарники (разных версий?). Да, не вяжется. Да и пофиг, анализ ботнета есть, исходники есть, квалификация эксперта достаточна, чтобы связать одно с другим. Один черт исходников недостаточно, это только средство. Нужно доказывать сам факт совершения правонарушения. Если у следствия этого нет, то им ничего не будет, если у следствия это есть, то даже отсутствие исходников их не спасет.

Какая у него квалификация. 2 года работы. И полное отсутствие знаний в реверс энжиниренге? Это же понятно при общении с ним.

Р>ЗЫ. Дима, вы вообще серьезно? Вас поймали с исходниками крупнейшего ботнета и вы пытаетесь доказать, что это какой-то другой ботнет??? Это типа вас повязали с калашом в руках над еще теплым трупом и вы пытаетесь доказать, что у вас в руках не калаш, а ТТ потому-что "функционал совпадает"?

А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами.
Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз. Я не знаю, что там за код оказался.

БОлее того, исследование ЕСЕТа написано предвзято. Если поднять статистику по спаму M86, то окажется что ботнет первый с конца. Когда это он крупнейшим был?

Здравствуйте, dmart, Вы писали:

D>А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами.
D>Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз.
Оставив в стороне ваше мнение об экспертизе, расскажите, пожалуйста, подробнее, как вы определили, что "злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз" и почему в таком случае этот факт не был учтен следствием? Это же чистой воды подлог, если правда. Из текста в ЖЖ это совсем непонятно.

>Я не знаю, что там за код оказался.
Ну это любой на вашем месте бы сказал
D>БОлее того, исследование ЕСЕТа написано предвзято.
Ну конечно!

Здравствуйте, Ромашка, Вы писали:

Р>Здравствуйте, мыщъх, Вы писали:

Р>Мыщъх, ты о них слишком хорошего мнения.

а классная у вас цветовая раскраска в иде! но вы поскипали цитату "эксперта", который говорил, что ида _восстанавливает_ имена функций. очевидно, восстанавливает она через FLIRT. там какие-то еще плагины упоминались -- хз что там "эксперт" скачал из тырнета. есть и такие плаги, которые восстанавливают имена криптографических функций с той или иной вероятностью угадать или промазать.

нормальный эксперт оглашает методики анализа. но этот "эксперт" об их существовании даже не подозревает. отберите у его иду, дайте ему грип. тогда экспертный вывод о родственных связях между exe и сорцами строится на совпадении текстовых строк, среди которых, возможно, есть и уникальные.

на приведенном вами фрагменте виден путь к .pdb файлу, который, вай-вай, за уникальный прокатывает только в судах, где приговор выносится еще до начала заседания.

'botnet' это очень слабый аргумент. практически каждый второй хацкер даст такое название директории.

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, dmart, Вы писали:

eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев,

для нормального суда ида не аргумент. если вывод "эксперта" базируется на сходстве результатов работы декомпилятора с исходными текстами, то декомпилятор должен быть простым и прозрачным. а если это "черный ящик", то такой цырк нам не нужен, поскольку, де-юре "эксперт" говорит -- мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать". очевидно же где тут запятая.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, dmart, Вы писали:

eqw>>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев,

М>для нормального суда ида не аргумент.
Да нет, почему. Суд принимает во внимание мнение экспертов. Если эксперта кто-то считает некомпетентным или предвзятым, его имеют право отвести.

> если вывод "эксперта" базируется на сходстве результатов работы декомпилятора с исходными текстами, то декомпилятор должен быть простым и прозрачным.
Никто никому ничего не должен.

>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать".
Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают

Здравствуйте, Ромашка, Вы писали:

Р>Здравствуйте, dmart, Вы писали:
D>>Написал так радостно. А на самом деле очередную чушь. Это страка значит что был сгенерён pdb файл при компиляции, и ничего больше.

Р>Дима, это подпись. Это значит, что дальше сравнение бинарников можно проводить только и исключительно для того, чтобы срубить побольше бабла с заказчика.

это подпись? мама, роди меня обратно. щоб ваш банк такие подписи использовал. и по ним позволят переводить деньги с вашего счета.

ответьте на простой вопрос: какова вероятность, что совершенно посторонний хакер вася пупкин
1) юзает eclipse и держит проекты в корне E:
2) ботнет называет ботнетом, а не блакджеком

это улика, но не более того. если у подозреваемого сорцы лежает именно там -- его можно начинать прорабатывать, но на доказательство это не тянет. у меня, кстати, тоже есть сорцы по аналогичному пути. только я не автор. я просто скачал zip из интернета, кинул в корень на E: и распаковал с путями.

Здравствуйте, мыщъх, Вы писали:

М>это улика, но не более того.
Если эта строка есть в бинарнике с вирусом, обнаруженными ITW и в какой-нибдуь *.lib, лежащей рядом с исходниками, то это вполне себе хорошая улика.

Совершенно неважно, где у подозреваемого лежат сорцы, может, он их на эту машину с другой скопировал после компиляции.

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

>> декомпилятор должен быть простым и прозрачным.
eqw> Никто никому ничего не должен.
еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.

простой пример -- я избегаю заглавных букв на форумах и систематически путаю ш и щ, поскольку с детства не различаю их на слух. вполне себе методика, если использовать ее как улику. причем, ш и щ на больших объемах текста очень трудно подделать. некоторые слова я просто помню как пишутся. некоторые все-таки различаю на слух и пишу без ошибок. остальные пишу как получится.

есть специальное ПО, которое используется для анализа и экспертизы текстов. но это ПО не работает как черный ящик. и при желании в выводах программы защита может убедиться, выполнив независимый анализ другим ПО и воскликнув -- да тут же бага!!!

>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать".
eqw>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают

благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, мыщъх, Вы писали:

>>> декомпилятор должен быть простым и прозрачным.
eqw>> Никто никому ничего не должен.
М>еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.
Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.

>>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать".
eqw>>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают

М>благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)

Так и в описанном случае решение принимает человек, используя результат работы антивируса как один из источников данных.

Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

eqw>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.

по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки или машина в силу ее испорченности вместо ДНК проанализировала H2O и с удивлением обнаружила, что одна молекула воды ничем не отличается от другой (это я, конечно, утрирую).

в нормальных странах подобные экспертные выводы используются только в процессе следствия и до суда не доходят. если "шайтан-машина" выдала список подозреваемых и за ними установили наблюдения, в результате которого взяли с поличным, то эксперта могут пригласить в суд лишь в качестве декорации.

кстати, чикатилло хороший пример. сколько раз ему выносили приговор? метод перебора, однако.

Здравствуйте, dmart, Вы писали:

D>Интересно ваше мнение.
К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?

Здравствуйте, Пофигист, Вы писали:

П>К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?

И какой же ты ответ на свой вопрос думаешь получить?
Да и дело как раз в деталях. Даже если они злобные хакеры, обвинение все равно несостоятельно (имхо).
Ну и интересно, держат ли еще этого "эксперта" в ЛК, а то позорище (тоже имхо).

Здравствуйте, eqw, Вы писали:

eqw>Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.

Николай совершенно прав. Эксперт должен использовать методику только ту которая может быть доказательно верной. То есть он должен был в ручную провести реасемблирование. Если использовались программы для реасемблирования которые выдают один и тот же код на разные входные данные то это доказывает что эти программы использовать нельзя. То есть судья должен был пригласить гарантированно независимых экспертов > 5. И все они должны были дать однозначное заключение.

Если судья этого не сделал то видимо и на попытки адвоката продемонстрировать что IDA дает одинаковую выдачу на разные входные данные он внимания не обратит.

То есть имеет место басманное правосудие. Но вообще оно в области IT преступлений во всем мире басманное.

Причем именно в IT-шных судебных процессах это особенно заметно, так как экспертов с противоположной стороны ( не IT-безопастность ) не бывает. А судья нихрена не понимает в этом IT.

Так что совет IT злодеям — лучше не попадаться.

Здравствуйте, Ромашка, Вы писали:

Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать?
Ну расскажи нам как из бинаря имена функций вытянуть? А то у меня что то без PDB ничего и близко похожего не получается.

Здравствуйте, eqw, Вы писали:

eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.
Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?

eqw>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся.
eqw>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml

Вот тебе пример работы HexRays на первой попавшейся под руку функции:

void __cdecl sub_401F60(int a1, int a2)
{
  char v2; // [sp+10h] [bp-40h]@1
  int v3; // [sp+4Ch] [bp-4h]@1

  sub_4025C0(a2);
  sub_401150();
  v3 = 0;
  sub_4025A0((int)&v2);
}

А вот собственно код:

void WinAPI::FindFiles (FindFilesCallback& callback, const WCHAR* mask, const WCHAR* startPath, DWORD mode)
{
    FileMaskMatcher matcher (mask);

    FindFilesGeneric (callback, &matcher, 1, startPath, mode);
}

А вот что можно увидеть если скормить IDA PDB от этого exe.

void __cdecl WinAPI::FindFiles(WinAPI::FindFilesCallback *callback, const unsigned __int16 *mask, const unsigned __int16 *startPath, unsigned int mode)
{
  WinAPI::FindFilesCallback *v4; // edi@0
  const unsigned __int16 *v5; // [sp-Ch] [bp-5Ch]@0
  unsigned int v6; // [sp-8h] [bp-58h]@0
  FileMaskMatcher matcher; // [sp+Ch] [bp-44h]@1
  WinAPI::FindFilesCallback *v8; // [sp+34h] [bp-1Ch]@1
  int v9; // [sp+4Ch] [bp-4h]@1

  v8 = v4;
  FileMaskMatcher::FileMaskMatcher(&matcher, mask);
  v9 = 1;
  FindFilesGeneric(v4, (FileMaskMatcher *)1, (unsigned int)callback, v5, v6);
  v9 = 0;
  ustring::Free(&matcher.m_source);
}

Она даже реюз стека не осилила правильно развернуть.

Если PDB нет — сосите болт. Никаких имён кроме библиотечных функций из FLIRT не будет.

Здравствуйте, linuz, Вы писали:

A>>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике.
L>Строки да, но названий функций и переменных там нет если их специально туда не включали.

я имел ввиду строки от разного рода assert'ов и прочих макросов использующих __FUNCTION__ и #
в некоторых программах такого добра навалом

Здравствуйте, CreatorCray, Вы писали:

CC>Вот тебе пример работы HexRays на первой попавшейся под руку функции:
CC>

CC>void __cdecl sub_401F60(int a1, int a2)
CC>{
CC>  char v2; // [sp+10h] [bp-40h]@1
CC>  int v3; // [sp+4Ch] [bp-4h]@1

CC>  sub_4025C0(a2);
CC>  sub_401150();
CC>  v3 = 0;
CC>  sub_4025A0((int)&v2);
CC>}
CC>

IDA это *интерактивный* дизассемблер, предполагается что Вы должны поработать руками и восстановить сигнатуры этих функций. хотя бы соглашения вызова, не говорю уже про типы аргументов.

CC>А вот собственно код:
CC>

CC>void WinAPI::FindFiles (FindFilesCallback& callback, const WCHAR* mask, const WCHAR* startPath, DWORD mode)
CC>{
CC>    FileMaskMatcher matcher (mask);

CC>    FindFilesGeneric (callback, &matcher, 1, startPath, mode);
CC>}
CC>

нет.
Вы бы еще написали

#define code \
  ... // тут какие-то незначительные детали и я их вам не покажу

code

отпрепроцессируйте и оттранслируйте этот FindFiles в Си, и тогда будет код который можно сравнивать с тем что получилось в hex-rays.

кому Вы тут вообще голову морочите? не умеете юзать иду и не знаете как компилирует компилятор — займитесь чемнить другим.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, мыщъх, Вы писали:

eqw>>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.

М>по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.

Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д. все эти результаты тоже активно используются и в заключения экспертов не фигурирует подробное описание химических реакций.

>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки
Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

М>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.
eqw> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
не эксперту, а используемой им методике. при этом защита может потребовать "слепого" анализа. понимаете, есть разница между тем когда эксперту дали десять образцов крови/спермы/чего_угодно, и он сказал, что образец номер пять совпадает с данным на 70%, образец номер три на 10%, остальные вообще не совпадают.

совершенно другая история, когда эксперта спрашивают -- вот тут две пробирки. в одной сперма насильника, извлеченная из влагалища жертвы, а в другой сперма подозреваемого. совпадают ли они?

в данном случае, как следует из заключения "эксперта" мы имеем дело со сценарием номер два. вы _действительно_ не понимаете, что тут дурно пахнет?

eqw>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д.
отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика, но не более того. улика достаточная, чтобы снять кого-то с занимаемой должности, но чтобы отправить в тюрьму необходимо что-то еще.

> все эти результаты тоже активно используются и в заключения экспертов
> не фигурирует подробное описание химических реакций.
вообще-то фигурируют. не химических реакций, конечно, но суть методики излагается достаточно полно, а так же эксперт ссылается на авторитетные источники. читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят: "такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.

>>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки
eqw>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали. но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.

ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.

Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.

Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.

Здравствуйте, cserg, Вы писали:

C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.

C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.

http://ru.wikipedia.org/wiki/%D0%91%D0%BE%D0%BB%D0%BE%D0%BD%D1%81%D0%BA%D0%B8%D0%B9_%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81

http://ru.wikipedia.org/wiki/%D0%91%D0%B0%D0%BA%D0%B0%D0%BB%D0%B0%D0%B2%D1%80#.D0.94.D0.B8.D0.BF.D0.BB.D0.BE.D0.BC_.D0.B1.D0.B0.D0.BA.D0.B0.D0.BB.D0.B0.D0.B2.D1.80.D0.B0

Здравствуйте, CreatorCray, Вы писали:

CC>Здравствуйте, eqw, Вы писали:

CC>Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?
Я-то как раз пользовался по прямому назначению, а вот что и сколько с ней делали вы — большой вопрос. Выглдят так, как будто пару раз запустили, ну или пару хакми порешали.

eqw>>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся.
eqw>>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml

CC>Она даже реюз стека не осилила правильно развернуть.
Развернуть реюз стека — это покруче, чем восстановить имена переменных.
Муа-ха-ха. Вы хоть когда-нибдуь что-нибдуь сложнее хакми при помощи IDA исследовали?

CC>Если PDB нет — сосите болт.
Вам уже правильно ответили — если вы не умеете серьезно заниматься реверсингом, займтесь чем-нибдуь другим, не надо свой непрофессионализм тут всем показывать, рассуждая о квалификации экспертов.

>Никаких имён кроме библиотечных функций из FLIRT не будет.
Спасибо, Капитан! Перечитайте еще раз мое ссобщение, там ниего нет про восстановление всех имен.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, мыщъх, Вы писали:

М>>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.
eqw>> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
М>не эксперту, а используемой им методике.
Именно эксперту. Методику можно использовать неправильно, эксперт может быть некомепетентным или предвзятым.
Методика суд интресует слабо — судья все равно не имеет квалификации, чтобы в ней разобраться, неужели это непонятно?

>при этом защита может потребовать "слепого" анализа.
Конечно, может. Артамоновы могли потребовать отвода эксперта, повторной экспертизы. Вместо этого они просто попробовали попридираться к словам эксперта, довольно неудачно.

eqw>>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д.
М>отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика

Ну так и обвинение Артамоновых не строится исключительно на одном этом заключении. Оно тоже выступает как улика.

>> все эти результаты тоже активно используются и в заключения экспертов
>> не фигурирует подробное описание химических реакций.
М>вообще-то фигурируют. не химических реакций,
Взаимоисключающие параграфы детектед.

>но суть методики излагается достаточно полно,
Ну вот и славно. Теперь осталось сделать так, чтобы формально определить, что такое "достаточно полно" в случае анализа софта. Ни в одном законе это, подозреваю, пока толком определено, т.к. область новая.

>а так же эксперт ссылается на авторитетные источники.
Итак, что у нас является авторитетным источником в области информационной безопасности? Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему?

>читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят:

Просто обвиняемым не хватает специальных знаний, чтобы троллить экспертов по ДНК. Вы много насильников, способных поддерживать разговор об анализе ДНК, видели?

>"такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.
ЭКсперт всегда пишет свое лично заключение, на основании своих, экспертных, знаний. Если бы методику мог применить и повторить кто угодно, никого эксперта не потребовалось бы.

eqw>>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
М>найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали.
Ага-ага. Сферические отпечатки в ваккууме.

>но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.
Т.е. вы сами прекрасно показали, что доказать подлинность отпечатков пальцев неспециалисту непросто. Для поиска используется шайтан-машина , решение принимает эксперт.

М>ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.
Я не люблю, когда черное упорно называют белым, а шваль из кардерской и вирмейкерской тусовки пытаются дурить голову неоперившейся школоте.

Здравствуйте, cserg, Вы писали:

C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.

C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
хз. у меня по самым скромным прикидкам набирается 15 лет опыта работы, есть O1A, которая в определенном смысле эквивалент Ph.D., даже круче. к моему скромному мнению прислушиваются и просят писать еще. "писать" в смысле отчеты, ассистируя экспертов в узких вопросах, в которых я более компетентен. например, в течении последних пяти лет я отслеживал "эволюцию" одного конкретного зловреда и копипасту его компонентов (часто без понимая сути его работы) по остальным творениям рук человеческих.

мои заключения могут выглядеть так:

1) в 2009 году была зафиксирована атака на неизвестную ранее дыру;
2) был получен intel, что код сплоита был опубликован на китайском приватном форуме;
3) вне китая о нем никто не знал и он не всплыл ни на одном из не-китайских сайтов;
4) атака использовала захардкоренные адреса китайской винды и таргетировала китайские сервисы;
5) в секции ресурсов торчит китайская кодовая страница, что указывает на локаль компа где его собирали;
6) исходя из (2) — (5) считаем, что по крайней мере один из авторов китаец или читает по китайски с китайской винды;

7) в 2010 году был обнаружен усовершенствованный вариант сплоита;
8) анализ сплоита показал, что он собран тем же компилятором с теми же исходниками;
9) в бинарнике обнаружены текстовые строки, представляющие собой украинские слова, записанные латиницей;
10) на английском форуме был обнаружен исходный текст данного компонента, опубликованный польским хакером;
11) основываясь на (8), можно предположить, что "китайский" хакер зашел на английский форум и скопипастил;
12) основываясь на (9) и (10) можно предположить плагиат польского хакера или он такой же поляк как китаец;

13) в 2011 году данный сплоит был включен в состав xxxx exploits kit, допиленный под его инфраструктуру;
14) intel на создателя xxxx показал, что он приобрел контрабандный товар в одессе у незнакомого проходимца;

15) в том же 2011 году была зафиксирована серия атак на китайские компы со слегка допиленным сплоитом образца 2009 года.

можно предположить, что авторство принадлежит китайским хакерам (которые тереторриально могут быть и в папуа-новой-гвинее), при сотрудничестве со братьями-славянами, пути которых затем разошлись и каждый стал поддерживать собственный бранч. но это только предположение. так сказать, рабочая версия. причем, в данном конкретном случае авторство принадлежит русскому украинцу, живущему в париже, и работающего на китайские полукриминальные группировки. и да, говорящего по китайски без словаря.

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

>>а так же эксперт ссылается на авторитетные источники.
eqw> Итак, что у нас является авторитетным источником в области информационной безопасности?
eqw> Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему?
http://www.garant.ru/news/425479/

"...экспертиза проводится на договорной основе одним или несколькими экспертами и (или) экспертными организациями, аккредитованными Роскомнадзором"

но вообще-то речь шла об источниках. то бишь библиографический указатель. например, Правомерность использования компьютерных технологий при производстве экспертизы // Е.В. Антонова // Эксперт-криминалист. – М.: Юрист, 2008

где отсылки к криминалистической литературе? вы упомянули отпечатки пальцев. да, тут задействована "шайтан-машина", но... сертифицированная. и за ее обслуживанием следят специальные люди и под страхом уголовного преследования ставят в журнале роспись, что все работает на зашибись.

ида уже сертифицирована для криминалистики? кто-то следит за том, чтобы она была установлена, сконфигурирована, чтобы не было лишних плагинов? где описание рабочей станции? а что если там лохматая винда или браузер не обновлен и его захачили и удаленно начали рулить машиной и "эксперт" вообще хз что анализировал.

блин, я хоть не эксперт, но я хотя бы свечку держал и как бы в курсе жесткости требований. одно из требований -- машина на которой проводилась экспертиза должна быть стерильна. должен быть протокол установки по и конфигурирования. она отрубается от иннета и по окончании экспертизы обесточивается и кладется на холд, чтобы потом можно было выяснить -- может она сама по себе зоопарк троянов и бэкдоров.

Спасибо, что дали мне ссылки на Болонский процесс. Я забыл, что сейчас есть бакалавры, специалисты, магистры.
Теперь непонятен другой момент. По ст.204 УПК РФ в заключении эксперта указываются сведения об образовании.
У него указано "квалификация-эксперт". В Википедии нет такой квалификации для среднего и высшего образования в РФ.
Интересно, в каком образовательном учреждении присваивают такую квалификацию?

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, мыщъх, Вы писали:

>>>а так же эксперт ссылается на авторитетные источники.
eqw>> Итак, что у нас является авторитетным источником в области информационной безопасности?
eqw>> Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему?
М>http://www.garant.ru/news/425479/

М>"...экспертиза проводится на договорной основе одним или несколькими экспертами и (или) экспертными организациями, аккредитованными Роскомнадзором"
Итак очевидно, эксперт из ЛК (а не ЛК, он это подчериквает), аккрудитирован Роскомнадзором. Иначе непонятно, за что адвоказам подзащитных платят деньги.

М>где отсылки к криминалистической литературе? вы упомянули отпечатки пальцев. да, тут задействована "шайтан-машина", но... сертифицированная. и за ее обслуживанием следят специальные люди

М>ида уже сертифицирована для криминалистики?

Прекрасно. Приведите, по которому все инструменты, которыми пользуются эксперты в своей работе должны быть сертифицированы. Чтобы каждая пробирка было освидетельствована и под страхом уголовной ответсвенности за ней следили специальные люди?

М>блин, я хоть не эксперт, но я хотя бы свечку держал и как бы в курсе жесткости требований.
Походу вы как раз не в курсе. Настолько жестких требований в РФ к ИТ-экспертизам нет.

>одно из требований -- машина на которой проводилась экспертиза должна быть стерильна. должен быть протокол установки по и конфигурирования. она отрубается от иннета и по окончании экспертизы обесточивается и кладется на холд, чтобы потом можно было выяснить -- может она сама по себе зоопарк троянов и бэкдоров.

Покажите мне официальный российский документ, описывающий эти требования. Я сильно сомневаюсь, что он существует где-то, кроме вашей головы.

Здравствуйте, cserg, Вы писали:

C>Спасибо, что дали мне ссылки на Болонский процесс. Я забыл, что сейчас есть бакалавры, специалисты, магистры.
C>Теперь непонятен другой момент. По ст.204 УПК РФ в заключении эксперта указываются сведения об образовании.
О, как же я люблю вопросы от свежезарегистрированых анонимов.

C>У него указано "квалификация-эксперт". В Википедии нет такой квалификации для среднего и высшего образования в РФ.
Сведения об образовании в заключении не указаны, это факт. По образованию он инженер, закончивший МИФИ. Это вполне могло бы служить основанием для того, чтобы признать документ недействительным, но адвокат почему-то этого не сделал.

Строка квалификация "эксперт-вирусный аналитик, стаж работы 3 года". Эту квалификацию он вполне могу приобрести, работая в ЛК, образование тут вообще не при чем.

У нас в стране, насколько я знаю, в 2000 годах вообще не готовили вирусных аналитиков.

C>Интересно, в каком образовательном учреждении присваивают такую квалификацию?

Ни в каком. Не пытайтесь повторить трюк, который уже пытались повторить на суде. Там уже про пленум Верховного суда и то, кого и на каких основаниях признают экспертом, ответили.

Здравствуйте, eqw, Вы писали:

eqw>Строка квалификация "эксперт-вирусный аналитик, стаж работы 3 года". Эту квалификацию он вполне могу приобрести, работая в ЛК, образование тут вообще не при чем.

в ЛК работают одни лохи и пастухи. их говноантивирус ищет исключительно текстовые строки в файлах. поэтому хочешь сделать UrlDownloadToFileW делай через GetProcAddress и склеивай строки
и эти чудаки на букву м рассуждают что то о деревьях. ищут американский след в иранских вирусах. разгадывают загадку компилятора diqu. говноэксперты юные дарования 22 лет от роду

Здравствуйте, eqw, Вы писали:

eqw>О, как же я люблю вопросы от свежезарегистрированых анонимов.

В зеркало давно смотрел?

Здравствуйте, Ops, Вы писали:

ps>В зеркало давно смотрел?

Аккуант eqw зареган раньше, чем тут появилась новость про суд над вирмейкерами.
В отилчие от %)

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

М>> ида уже сертифицирована для криминалистики?
eqw> Прекрасно. Приведите, по которому все инструменты, которыми пользуются эксперты
eqw> в своей работе должны быть сертифицированы. Чтобы каждая пробирка было
уже давал ссылку на книгу про использование шайтан-машин в криминалистике.

М>>блин, я хоть не эксперт, но я хотя бы свечку держал и как бы в курсе жесткости требований.
eqw>Походу вы как раз не в курсе. Настолько жестких требований в РФ к ИТ-экспертизам нет.
походу есть. я, в частности, был ассистентом эксперта, который анализировал АРМ в котором было был де-юре баг, а де-факто закладка, которую разработчик продал за бабло криминальным людям и которые ее заюзали по крайней мере однажды. доказать, что ошибка типа переполнение буфера оставлена умышленно не удалось, как и не удалось установить авторство создателя ПО, юзающего закладку, причем само по себе ПО не удалось даже классифицировать как вредоносное, потому что судья попался такой.

eqw> Покажите мне официальный российский документ, описывающий эти требования.
eqw> Я сильно сомневаюсь, что он существует где-то, кроме вашей головы.
читайте УПК РФ. там все есть. или это для вас не документ? вообще, форма вашего вопроса как бы намекает, что вы не в курсе какими документами руководствуются суды. конечно, в УПК нет процедуры описания маинтейса машины для анализа ДНК, и УПК ограничивается лишь предупреждением об ответственности за халатность, которая в данном случае носит преступный характер.

теперь вопрос лично к вам. допустим, вы эксперт на суде.

адвокат — эксперту: а у вас компьютер случайно не представляет собой зоопарк бэкдоров?
эксперт — адвокату: нет, конечно, я же эксперт.
адвокат — эксперту: а обосновать?
эксперт — адвокату: у меня антивирус стоит. а, нет, стоп. я гоню. он отключен частично, чтобы можно было с малварью работать. но мамой клянусь, теорема верна!!!
адвокат — эксперту: какие меры вы предприняли, чтобы убедиться, что ваша машина не скомпроментирована? вах-вах. никаких! оля-ля-ля.

вот на этот случай эксперт в присутствии следователя или специалиста (см. в УПК кто у нас специалист) делает то, что должен. и все это документирует.

опять-таки пример из личной жизни, когда я выступал ассистентом эксперта. эксперту передали на анализ данные. адвокат спросил -- уверен ли эксперт, что это именно те данные, о которых мы тут в зале суда говорим? эксперт сказал: да, конечно, я MD5 считал. адвокат попросил отвод, т.к. MD5 это не цифровая подпись. судья, который не знал чем MD5 от CRC32 отличается, согласился, что всякие там аббревиатуры это не аргумент.

Здравствуйте, svteem, Вы писали:

S>Почти все объяснения ТС потёрли.

Какие "объяснения", юление одно.

Комментарии на хабре вполне адекватные. Например, вот: http://habrahabr.ru/post/168501/#comment_5832301

Здравствуйте, AlexRK, Вы писали:

ARK>Здравствуйте, svteem, Вы писали:

S>>Почти все объяснения ТС потёрли.

ARK>Какие "объяснения", юление одно.

Комментарии на хабре вполне адекватные. Например, вот: http://habrahabr.ru/post/168501/#comment_5832301

Это твоё "оценочное" мнение. Так же как и мнение автора. Только вот твоё "оценочное" мнение оставили.
Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html

Потрёте и меня?

Здравствуйте, svteem, Вы писали:

S>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html

Держите нас в курсе.

Я так и не понял, чего добивается автор? Хотел опустить эксперта Касперского, а в результате сел в лужу сам.

Здравствуйте, svteem, Вы писали:

S>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
Да прямо неуловимый Джо какой-то. Сомневаюсь, что было 100 постов, во всяком случае, я не видел. Если и было — какая-нибудь ветка, начавшаяся с нарушения правил, за то и уехавшая в треш.

Здравствуйте, AlexRK, Вы писали:

ARK>Здравствуйте, svteem, Вы писали:

S>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html

ARK>Держите нас в курсе.

ARK>Я так и не понял, чего добивается автор? Хотел опустить эксперта Касперского, а в результате сел в лужу сам.

Это ты откуда такие выводы сделал? Это над Каспером ржёт Рунет.

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, svteem, Вы писали:

S>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
Ops>Да прямо неуловимый Джо какой-то. Сомневаюсь, что было 100 постов, во всяком случае, я не видел. Если и было — какая-нибудь ветка, начавшаяся с нарушения правил, за то и уехавшая в треш.

В первый день же их было 86. Сегодня ветку тоже зачистили.

программа IDA Pro не сертифицирована по ГОСТ Росстандартом, по этому применяться не может...

Здравствуйте, linuz, Вы писали:

L>Здравствуйте, Ромашка, Вы писали:

L> В экспертизе написано что исходники лежали в C:\Projects.

Ой — у меня так тоже папка называется на работе и дома... После этого дела эту папку не сочтут экстремистской?

Здравствуйте, svteem, Вы писали:

S>Здравствуйте, AlexRK, Вы писали:

ARK>>Здравствуйте, svteem, Вы писали:

S>>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html

ARK>>Держите нас в курсе.

ARK>>Я так и не понял, чего добивается автор? Хотел опустить эксперта Касперского, а в результате сел в лужу сам.

S>Это ты откуда такие выводы сделал? Это над Каспером ржёт Рунет.

Какой рунет? Эпическая тема из двух комментариев на портале ксакеп.ру? Не нужно выдавать желаемое за действительное.

А тому кто ржет, ознакомившись только с передергиваниями автора топика, можно посоветовать только одно — пожуй овса и в стойло.

Или прочитай результат экспертизы.

До чего касперский докатился... до центра Озон... а эксперт до Лейлы Соколовой... В общем когда баба у руля — все понятно...
А так в общем все равно осудят...я в наших судах не сомневаюсь

Здравствуйте, AlexRK, Вы писали:

ARK>Здравствуйте, svteem, Вы писали:

S>>Здравствуйте, AlexRK, Вы писали:

ARK>>>Здравствуйте, svteem, Вы писали:

S>>>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html

ARK>>>Держите нас в курсе.

ARK>>>Я так и не понял, чего добивается автор? Хотел опустить эксперта Касперского, а в результате сел в лужу сам.

S>>Это ты откуда такие выводы сделал? Это над Каспером ржёт Рунет.

ARK>Какой рунет? Эпическая тема из двух комментариев на портале ксакеп.ру? Не нужно выдавать желаемое за действительное.

ARK>А тому кто ржет, ознакомившись только с передергиваниями автора топика, можно посоветовать только одно — пожуй овса и в стойло.

Или прочитай результат экспертизы.

Уважаемый, вы очень далеки от реальности. Хотя бы Хабр с 11 тыс просмотров

Здравствуйте, dmart, Вы писали:

D>Привет всем.
D>Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html
D>Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда...
D>Интересно ваше мнение.

Почитал. Мое мнение: эксперту следовало сделать раздел исследование в три раза подробней и сохранить журнал исследования как раз на такой случай, но никаких явных нестыковок, указывающих что он плохой или что-то выдумал, я не вижу. Самый скользкий момент — вместо ответа, что делает конкретно бинарник, ответил что делает ботнет.

Обоснуйте неясность заключения эксперта и добейтесь подробного заключения, или другого эксперта. Хотя судя по тому как вопросы перед экспертизой были сформулированы, другая экспертиза придет точно к такому же выводу (есть бинарник, который детектится и исходники ботнета, надо сделать вывод об их вредоносности — что, есть какая-то надежда? не считая надежды на то, что эксперт соврал и это были исходники линукса, а не ботнета, но за это уголовная ответственность же есть).

Здравствуйте, ishmakov, Вы писали:

L>> В экспертизе написано что исходники лежали в C:\Projects.
I>Ой — у меня так тоже папка называется на работе и дома... После этого дела эту папку не сочтут экстремистской?
Пойдёшь как соучастник!

Здравствуйте, Abyx, Вы писали:

A>я имел ввиду строки от разного рода assert'ов и прочих макросов использующих __FUNCTION__ и #
A>в некоторых программах такого добра навалом
Подозреваю что в коде ботнета такого просто не встречается. Разве что только в используемых им либах.

Здравствуйте, dmart.

А где в заключении эксперта ответ на 7 вопрос, особенно в части "и являются ли они идентичными"?
Там после 7 дан ответ на 6 вопрос.

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, dmart, Вы писали:

D>>А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами.
D>>Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз.
eqw>Оставив в стороне ваше мнение об экспертизе, расскажите, пожалуйста, подробнее, как вы определили, что "злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз" и почему в таком случае этот факт не был учтен следствием? Это же чистой воды подлог, если правда. Из текста в ЖЖ это совсем непонятно.

>>Я не знаю, что там за код оказался.
eqw>Ну это любой на вашем месте бы сказал
D>>БОлее того, исследование ЕСЕТа написано предвзято.
eqw>Ну конечно!

Объясните, пожалуйста, почему решили зайти с другого конца при наличии исходников. Пробовали собрать проект? Я легко могу представить, что сборка сложного ПО без документации и нежелания авторов сотрудничать может быть непростой процедурой, и что запросто можно не уложиться в сроки. Но попытка-то была? Или там не весь проект, а только его часть? В конце концов можно было хотя бы глянуть, какие бинарники получаются на выходе (не производя сборку)?

Здравствуйте, svteem, Вы писали:

S>В первый день же их было 86. Сегодня ветку тоже зачистили.

Ога, уже не 100. И бан, оказывается, за нарушение (обычно на 1-й раз не больше суток). Ну и, такие дела, тут если сносят пост, то уезжает в треш вся ветка, о чем все местные знают.

Здравствуйте, Кодёнок, Вы писали:

Кё>Почитал. Мое мнение: эксперту следовало сделать раздел исследование в три раза подробней и сохранить журнал исследования как раз на такой случай, но никаких явных нестыковок, указывающих что он плохой или что-то выдумал, я не вижу. Самый скользкий момент — вместо ответа, что делает конкретно бинарник, ответил что делает ботнет.

Эксперту следовало поговорить с подчиненным, который эту экспертизу делал, и узнать что к чему. Уж слишком многого он "не помнит".

Здравствуйте, LaPerouse, Вы писали:

LP>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, dmart, Вы писали:

D>>>А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами.
D>>>Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз.
eqw>>Оставив в стороне ваше мнение об экспертизе, расскажите, пожалуйста, подробнее, как вы определили, что "злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз" и почему в таком случае этот факт не был учтен следствием? Это же чистой воды подлог, если правда. Из текста в ЖЖ это совсем непонятно.

>>>Я не знаю, что там за код оказался.
eqw>>Ну это любой на вашем месте бы сказал
D>>>БОлее того, исследование ЕСЕТа написано предвзято.
eqw>>Ну конечно!

LP>Объясните, пожалуйста, почему решили зайти с другого конца при наличии исходников. Пробовали собрать проект? Я легко могу представить, что сборка сложного ПО без документации и нежелания авторов сотрудничать может быть непростой процедурой, и что запросто можно не уложиться в сроки. Но попытка-то была? Или там не весь проект, а только его часть? В конце концов можно было хотя бы глянуть, какие бинарники получаются на выходе (не производя сборку)?

Времени было предостаточно. Я Вас понял. Вопрос хороший

.
Возможно этот код просто не собирается или код совершенно не того, что нужно следствию.

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, svteem, Вы писали:

S>>В первый день же их было 86. Сегодня ветку тоже зачистили.

Ops>Ога, уже не 100. И бан, оказывается, за нарушение (обычно на 1-й раз не больше суток). Ну и, такие дела, тут если сносят пост, то уезжает в треш вся ветка, о чем все местные знают.

Класс. Только полветки так исчезло.

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, Кодёнок, Вы писали:

Кё>>Почитал. Мое мнение: эксперту следовало сделать раздел исследование в три раза подробней и сохранить журнал исследования как раз на такой случай, но никаких явных нестыковок, указывающих что он плохой или что-то выдумал, я не вижу. Самый скользкий момент — вместо ответа, что делает конкретно бинарник, ответил что делает ботнет.

Ops>Эксперту следовало поговорить с подчиненным, который эту экспертизу делал, и узнать что к чему. Уж слишком многого он "не помнит".

У него нет подчинённых кто делал эту экспертизу. Делает тот, кто указан в назначении. Там только один Ануфриев.
Так что не катит отмазка.

Здравствуйте, dmart, Вы писали:

D>У него нет подчинённых кто делал эту экспертизу. Делает тот, кто указан в назначении. Там только один Ануфриев.
D>Так что не катит отмазка.

Это по его словам. Если бы он сам делал экспертизу, он бы знал что к чему, а он даже отчет поленился выучить.

Здравствуйте, dmart, Вы писали:

D>Класс. Только полветки так исчезло.

Это как? Ветка — это все ответы на конкретный пост, и далее. Тут древовидный форум.

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, dmart, Вы писали:

D>>Класс. Только полветки так исчезло.

Ops>Это как? Ветка — это все ответы на конкретный пост, и далее. Тут древовидный форум.

Когда нечего сказать — лучше жевать

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, dmart, Вы писали:

D>>У него нет подчинённых кто делал эту экспертизу. Делает тот, кто указан в назначении. Там только один Ануфриев.
D>>Так что не катит отмазка.

Ops>Это по его словам. Если бы он сам делал экспертизу, он бы знал что к чему, а он даже отчет поленился выучить.

Т.е. ты хочешь сказать что он её сфабриковал? Вот тут я с тобой соглашусь.

Здравствуйте, dmart, Вы писали:

D>Возможно этот код просто не собирается или код совершенно не того, что нужно следствию.

А возможно этот код собирается и в результате сборки получается троян.

Здравствуйте, dmart, Вы писали:

D>Т.е. ты хочешь сказать что он её сфабриковал? Вот тут я с тобой соглашусь.

Не обязательно, но возможно. Еще мог скинуть на кого-то из подчиненных (он же вроде начальник какого-то отдела?), а выдал за свою, даже не разобравшись в ней. В любом случае, часть обвинения, основанная на этой "экспертизе" — несостоятельна.

Здравствуйте, AlexRK, Вы писали:

D>>Возможно этот код просто не собирается или код совершенно не того, что нужно следствию.

ARK>А возможно этот код собирается и в результате сборки получается троян.

Так в чем проблемы тогда?

... << RSDN@Home 1.2.0 alpha 4 rev. 1237>>

Здравствуйте, svteem, Вы писали:

S>Это твоё "оценочное" мнение. Так же как и мнение автора. Только вот твоё "оценочное" мнение оставили.
S>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html

S>Потрёте и меня?

Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово.

Здравствуйте, _ABC_, Вы писали:

_AB>Здравствуйте, svteem, Вы писали:

S>>Это твоё "оценочное" мнение. Так же как и мнение автора. Только вот твоё "оценочное" мнение оставили.
S>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html

S>>Потрёте и меня?

_AB>Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово.

Чтобы не быть голословным. Приведи пример мата через слово. Цитату пожалуйста.

Здравствуйте, dmart, Вы писали:

_AB>>Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово.
D>Чтобы не быть голословным. Приведи пример мата через слово. Цитату пожалуйста.

Прошу прощения. Тот пост, на который я жаловался, был написан от имени linuz'a.

Здравствуйте, _ABC_, Вы писали:

_AB>Здравствуйте, dmart, Вы писали:

_AB>>>Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово.
D>>Чтобы не быть голословным. Приведи пример мата через слово. Цитату пожалуйста.

_AB>Прошу прощения. Тот пост, на который я жаловался, был написан от имени linuz'a.

Во как. Представляете, а нам полтреда удалили!

Здравствуйте, ambel-vlad, Вы писали:

AV>Так в чем проблемы тогда?

Проблем нет. Это автор пытается всем объяснить, что эксперт не прав.

Здравствуйте, AlexRK, Вы писали:

AV>>Так в чем проблемы тогда?

ARK>Проблем нет. Это автор пытается всем объяснить, что эксперт не прав.

А возможно этот код собирается и в результате сборки получается троян

это слова автора?

... << RSDN@Home 1.2.0 alpha 4 rev. 1237>>

Здравствуйте, dmart, Вы писали:

D>Во как. Представляете, а нам полтреда удалили!

У Вас тоже нарушения были. А в целом — не будете нарушать правила форума, удалять не будут.
По-моему, тут по требованию фирмы только один раз топик был удален. Причем удален таким образом, что для той фирмы лучше было бы не требовать такого.

Здравствуйте, ambel-vlad, Вы писали:

AV>

AV>А возможно этот код собирается и в результате сборки получается троян

AV>это слова автора?

Это мои слова.

Здравствуйте, AlexRK, Вы писали:

AV>>

AV>>А возможно этот код собирается и в результате сборки получается троян

AV>>это слова автора?

ARK>Это мои слова.

Тогда в чем проблема собрать их и получить троян?

... << RSDN@Home 1.2.0 alpha 4 rev. 1237>>

Здравствуйте, ambel-vlad, Вы писали:

AV>Тогда в чем проблема собрать их и получить троян?

Ну а кто сказал, что есть такая проблема? Возможно, что собирали и получили троян. Это автор темы пытается доказать, что это исходники линупса.
Странная беседа какая-то. То ли вы чего-то не понимаете, то ли я.

Здравствуйте, AlexRK, Вы писали:

ARK>Здравствуйте, ambel-vlad, Вы писали:

AV>>Тогда в чем проблема собрать их и получить троян?

ARK>Ну а кто сказал, что есть такая проблема? Возможно, что собирали и получили троян. Это автор темы пытается доказать, что это исходники линупса.
ARK>Странная беседа какая-то. То ли вы чего-то не понимаете, то ли я.

Вопрос (пытались ли собрать проект) был задан эксперту несколько раз, ответа не было. В экспертизе этот вопрос освещен?

Здравствуйте, AlexRK, Вы писали:

AV>>Тогда в чем проблема собрать их и получить троян?

ARK>Ну а кто сказал, что есть такая проблема? Возможно, что собирали и получили троян.

А возможно получили изображение сисек Памелы Андерсон. Не слишком ли много "возможно"?

... << RSDN@Home 1.2.0 alpha 4 rev. 1237>>

Здравствуйте, LaPerouse, Вы писали:

LP>Вопрос (пытались ли собрать проект) был задан эксперту несколько раз, ответа не было. В экспертизе этот вопрос освещен?

Этот вопрос в экспертизе не освещен. Автор темы может попробовать обоснованно доказать, что проект собрать не пытались (то, что в начальном посте выдается за обоснование — это ха-ха два раза). И даже если это удастся доказать, это не означает, что исходники не являются исходниками трояна.

Здравствуйте, ambel-vlad, Вы писали:

AV>А возможно получили изображение сисек Памелы Андерсон. Не слишком ли много "возможно"?

Это в интересах автора темы доказать, что получили изображение сисек. Пусть привлечет эксперта к ответственности за дачу ложных показаний. Только что-то мне подсказывает, что хрен это ему удастся. После прочтения судебных прений я свое мнение об авторе уже составил.

Здравствуйте, AlexRK, Вы писали:

AV>>А возможно получили изображение сисек Памелы Андерсон. Не слишком ли много "возможно"?

ARK>Это в интересах автора темы доказать, что получили изображение сисек.

Вообще-то презумцию невиности еще не отменяли. Посему стороне обвинения надо доказать, что там троян. И если эксперт собрал троян из сорцов, то это должно было быть освещено.

... << RSDN@Home 1.2.0 alpha 4 rev. 1237>>

Здравствуйте, dmart, Вы писали:
D>http://dmitryart1985.livejournal.com/8069.html

А как писал один из моих любимых авторов Герберт Шилдт (...)

Можно даже не читать, и так все понятно

Спасибо все за ответы, я опубликовал главу 2 нашей истории: http://dmitryart1985.livejournal.com/9061.html
Забавно, на хабре: http://habrahabr.ru/post/169179/ в этот раз статья провисела 10 мин, постараемся её восстановить.

Здравствуйте, dmart, Вы писали:

D>Спасибо все за ответы, я опубликовал главу 2 нашей истории: http://dmitryart1985.livejournal.com/9061.html
D>Забавно, на хабре: http://habrahabr.ru/post/169179/ в этот раз статья провисела 10 мин, постараемся её восстановить.

попробовал посмотреть на хабре. В ответ получил "Автор переместил топик в черновики."

... << RSDN@Home 1.2.0 alpha 4 rev. 1237>>

Здравствуйте, ambel-vlad, Вы писали:

AV>Здравствуйте, dmart, Вы писали:

D>>Спасибо все за ответы, я опубликовал главу 2 нашей истории: http://dmitryart1985.livejournal.com/9061.html
D>>Забавно, на хабре: http://habrahabr.ru/post/169179/ в этот раз статья провисела 10 мин, постараемся её восстановить.

AV>попробовал посмотреть на хабре. В ответ получил "Автор переместил топик в черновики."

Так я и говорю — 10 минут на этот раз провисела. Удалил тот же модератор. Причина (приготовтесь): копипаст с ЖЖ!

Здравствуйте, dmart, Вы писали:

D>>>Спасибо все за ответы, я опубликовал главу 2 нашей истории: http://dmitryart1985.livejournal.com/9061.html
D>>>Забавно, на хабре: http://habrahabr.ru/post/169179/ в этот раз статья провисела 10 мин, постараемся её восстановить.

AV>>попробовал посмотреть на хабре. В ответ получил "Автор переместил топик в черновики."

D>Так я и говорю — 10 минут на этот раз провисела. Удалил тот же модератор. Причина (приготовтесь): копипаст с ЖЖ!

Я про другое немножко. Причина недоступности статьи очень повеселила. Это не мы тюкнули, это автор начудил.

... << RSDN@Home 1.2.0 alpha 4 rev. 1237>>

интересно, а на каком основании был приглашен в качестве эксперта сотрудник частной фирмы, и вообще существуют ли какие нибудь критерии отбора в эксперты в данной области? это к тому на основании какого положения закона пригласили именно из Лаборатории Касперского а не из фсб или еще xz откуда.

Здравствуйте, quporos, Вы писали:

Q>интересно, а на каком основании был приглашен в качестве эксперта сотрудник частной фирмы, и вообще существуют ли какие нибудь критерии отбора в эксперты в данной области? это к тому на основании какого положения закона пригласили именно из Лаборатории Касперского а не из фсб или еще xz откуда.

Насчёт эксперта из ФСБ у следователя была гениальная отмазка, раз Максим Пермяков (один из обвиняемых) — сам бывший сотрудник из ЦИБ ФСБ. То отдавать на экспертизу в институт ФСБ — нельзя.

При этом:
1. Евгений Капсреский тоже бывший сотрудник.
2. ЛК была свидетелем атаки, а так же ещё и защищала Ассиста на комерческой основе. ст 71 упк рф.
3. ЛК — это ЗАО, а из Пленума Верховного суда (указан в моей статье) не может являтся экспертным учереждением.

Но всё это как то не помешало следователю Дадинскому С.С. после 5 месяцев поиска отправить экспертизу именно в ЛК.

	От:	dmart
	Дата:	07.02.13 16:26
	Оценка:	5 (1) -1

	От:	Abyx
	Дата:	07.02.13 17:30
	Оценка:	+2

	От:	Ромашка
	Дата:	07.02.13 17:33
	Оценка:

	От:	linuz
	Дата:	07.02.13 17:48
	Оценка:	1 (1)

	От:	Ромашка
	Дата:	07.02.13 18:27
	Оценка:

От:	мыщъх	http://nezumi-lab.org
Дата:	07.02.13 21:38
Оценка:	1 (1)

	От:	Пофигист
	Дата:	08.02.13 08:13
	Оценка:	1 (1) +1

	От:	CreatorCray
	Дата:	08.02.13 10:46
	Оценка:	1 (1) +2 -1

	От:	Забанили Слоники
	Дата:	09.02.13 02:14
	Оценка:	1 (1) -2

	От:	Кодёнок
	Дата:	09.02.13 18:03
	Оценка:	+1