Здравствуйте, мыщъх, Вы писали:

М>это улика, но не более того.
Если эта строка есть в бинарнике с вирусом, обнаруженными ITW и в какой-нибдуь *.lib, лежащей рядом с исходниками, то это вполне себе хорошая улика.

Совершенно неважно, где у подозреваемого лежат сорцы, может, он их на эту машину с другой скопировал после компиляции.

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

>> декомпилятор должен быть простым и прозрачным.
eqw> Никто никому ничего не должен.
еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.

простой пример -- я избегаю заглавных букв на форумах и систематически путаю ш и щ, поскольку с детства не различаю их на слух. вполне себе методика, если использовать ее как улику. причем, ш и щ на больших объемах текста очень трудно подделать. некоторые слова я просто помню как пишутся. некоторые все-таки различаю на слух и пишу без ошибок. остальные пишу как получится.

есть специальное ПО, которое используется для анализа и экспертизы текстов. но это ПО не работает как черный ящик. и при желании в выводах программы защита может убедиться, выполнив независимый анализ другим ПО и воскликнув -- да тут же бага!!!



>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать".
eqw>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают
благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, мыщъх, Вы писали:

>>> декомпилятор должен быть простым и прозрачным.
eqw>> Никто никому ничего не должен.
М>еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.
Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.


>>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать".
eqw>>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают
М>благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)

Так и в описанном случае решение принимает человек, используя результат работы антивируса как один из источников данных.

Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.

Здравствуйте, eqw, Вы писали:

eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.

Феерическая чушь, вон из профессии.

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

eqw>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.

по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки или машина в силу ее испорченности вместо ДНК проанализировала H2O и с удивлением обнаружила, что одна молекула воды ничем не отличается от другой (это я, конечно, утрирую).

в нормальных странах подобные экспертные выводы используются только в процессе следствия и до суда не доходят. если "шайтан-машина" выдала список подозреваемых и за ними установили наблюдения, в результате которого взяли с поличным, то эксперта могут пригласить в суд лишь в качестве декорации.

кстати, чикатилло хороший пример. сколько раз ему выносили приговор? метод перебора, однако.

Здравствуйте, dmart, Вы писали:

D>Интересно ваше мнение.
К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?

Здравствуйте, Пофигист, Вы писали:

П>К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?

И какой же ты ответ на свой вопрос думаешь получить?
Да и дело как раз в деталях. Даже если они злобные хакеры, обвинение все равно несостоятельно (имхо).
Ну и интересно, держат ли еще этого "эксперта" в ЛК, а то позорище (тоже имхо).

Здравствуйте, eqw, Вы писали:

eqw>Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.

Николай совершенно прав. Эксперт должен использовать методику только ту которая может быть доказательно верной. То есть он должен был в ручную провести реасемблирование. Если использовались программы для реасемблирования которые выдают один и тот же код на разные входные данные то это доказывает что эти программы использовать нельзя. То есть судья должен был пригласить гарантированно независимых экспертов > 5. И все они должны были дать однозначное заключение.

Если судья этого не сделал то видимо и на попытки адвоката продемонстрировать что IDA дает одинаковую выдачу на разные входные данные он внимания не обратит.

То есть имеет место басманное правосудие. Но вообще оно в области IT преступлений во всем мире басманное.

Причем именно в IT-шных судебных процессах это особенно заметно, так как экспертов с противоположной стороны ( не IT-безопастность ) не бывает. А судья нихрена не понимает в этом IT.

Так что совет IT злодеям — лучше не попадаться.

Здравствуйте, Ромашка, Вы писали:

Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать?
Ну расскажи нам как из бинаря имена функций вытянуть? А то у меня что то без PDB ничего и близко похожего не получается.

Здравствуйте, eqw, Вы писали:

eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.
Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?

eqw>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся.
eqw>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml

Вот тебе пример работы HexRays на первой попавшейся под руку функции:

void __cdecl sub_401F60(int a1, int a2)
{
  char v2; // [sp+10h] [bp-40h]@1
  int v3; // [sp+4Ch] [bp-4h]@1

  sub_4025C0(a2);
  sub_401150();
  v3 = 0;
  sub_4025A0((int)&v2);
}

А вот собственно код:

void WinAPI::FindFiles (FindFilesCallback& callback, const WCHAR* mask, const WCHAR* startPath, DWORD mode)
{
    FileMaskMatcher matcher (mask);

    FindFilesGeneric (callback, &matcher, 1, startPath, mode);
}

А вот что можно увидеть если скормить IDA PDB от этого exe.

void __cdecl WinAPI::FindFiles(WinAPI::FindFilesCallback *callback, const unsigned __int16 *mask, const unsigned __int16 *startPath, unsigned int mode)
{
  WinAPI::FindFilesCallback *v4; // edi@0
  const unsigned __int16 *v5; // [sp-Ch] [bp-5Ch]@0
  unsigned int v6; // [sp-8h] [bp-58h]@0
  FileMaskMatcher matcher; // [sp+Ch] [bp-44h]@1
  WinAPI::FindFilesCallback *v8; // [sp+34h] [bp-1Ch]@1
  int v9; // [sp+4Ch] [bp-4h]@1

  v8 = v4;
  FileMaskMatcher::FileMaskMatcher(&matcher, mask);
  v9 = 1;
  FindFilesGeneric(v4, (FileMaskMatcher *)1, (unsigned int)callback, v5, v6);
  v9 = 0;
  ustring::Free(&matcher.m_source);
}

Она даже реюз стека не осилила правильно развернуть.

Если PDB нет — сосите болт. Никаких имён кроме библиотечных функций из FLIRT не будет.

Здравствуйте, dmart, Вы писали:

D>Привет всем.
D>Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html
D>Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда...
D>Интересно ваше мнение.

Мнение такое: эксперт в целом ничего криминального не сказал, а в жж — одно передергивание на другом.

Здравствуйте, linuz, Вы писали:

A>>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике.
L>Строки да, но названий функций и переменных там нет если их специально туда не включали.

я имел ввиду строки от разного рода assert'ов и прочих макросов использующих __FUNCTION__ и #
в некоторых программах такого добра навалом

Здравствуйте, CreatorCray, Вы писали:

CC>Вот тебе пример работы HexRays на первой попавшейся под руку функции:
CC>

CC>void __cdecl sub_401F60(int a1, int a2)
CC>{
CC>  char v2; // [sp+10h] [bp-40h]@1
CC>  int v3; // [sp+4Ch] [bp-4h]@1

CC>  sub_4025C0(a2);
CC>  sub_401150();
CC>  v3 = 0;
CC>  sub_4025A0((int)&v2);
CC>}
CC>

IDA это *интерактивный* дизассемблер, предполагается что Вы должны поработать руками и восстановить сигнатуры этих функций. хотя бы соглашения вызова, не говорю уже про типы аргументов.

CC>А вот собственно код:
CC>

CC>void WinAPI::FindFiles (FindFilesCallback& callback, const WCHAR* mask, const WCHAR* startPath, DWORD mode)
CC>{
CC>    FileMaskMatcher matcher (mask);

CC>    FindFilesGeneric (callback, &matcher, 1, startPath, mode);
CC>}
CC>

нет.
Вы бы еще написали

#define code \
  ... // тут какие-то незначительные детали и я их вам не покажу

code

отпрепроцессируйте и оттранслируйте этот FindFiles в Си, и тогда будет код который можно сравнивать с тем что получилось в hex-rays.

кому Вы тут вообще голову морочите? не умеете юзать иду и не знаете как компилирует компилятор — займитесь чемнить другим.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, мыщъх, Вы писали:

eqw>>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.

М>по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.

Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д. все эти результаты тоже активно используются и в заключения экспертов не фигурирует подробное описание химических реакций.

>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки
Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются

Здравствуйте, eqw, Вы писали:

eqw>Здравствуйте, мыщъх, Вы писали:

М>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.
eqw> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
не эксперту, а используемой им методике. при этом защита может потребовать "слепого" анализа. понимаете, есть разница между тем когда эксперту дали десять образцов крови/спермы/чего_угодно, и он сказал, что образец номер пять совпадает с данным на 70%, образец номер три на 10%, остальные вообще не совпадают.

совершенно другая история, когда эксперта спрашивают -- вот тут две пробирки. в одной сперма насильника, извлеченная из влагалища жертвы, а в другой сперма подозреваемого. совпадают ли они?

в данном случае, как следует из заключения "эксперта" мы имеем дело со сценарием номер два. вы _действительно_ не понимаете, что тут дурно пахнет?

eqw>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д.
отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика, но не более того. улика достаточная, чтобы снять кого-то с занимаемой должности, но чтобы отправить в тюрьму необходимо что-то еще.

> все эти результаты тоже активно используются и в заключения экспертов
> не фигурирует подробное описание химических реакций.
вообще-то фигурируют. не химических реакций, конечно, но суть методики излагается достаточно полно, а так же эксперт ссылается на авторитетные источники. читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят: "такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.


>>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки
eqw>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали. но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.

ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.

Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.
Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.

Здравствуйте, cserg, Вы писали:

C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.
C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.

http://ru.wikipedia.org/wiki/%D0%91%D0%BE%D0%BB%D0%BE%D0%BD%D1%81%D0%BA%D0%B8%D0%B9_%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81

http://ru.wikipedia.org/wiki/%D0%91%D0%B0%D0%BA%D0%B0%D0%BB%D0%B0%D0%B2%D1%80#.D0.94.D0.B8.D0.BF.D0.BB.D0.BE.D0.BC_.D0.B1.D0.B0.D0.BA.D0.B0.D0.BB.D0.B0.D0.B2.D1.80.D0.B0

Здравствуйте, CreatorCray, Вы писали:

CC>Здравствуйте, eqw, Вы писали:

CC>Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?
Я-то как раз пользовался по прямому назначению, а вот что и сколько с ней делали вы — большой вопрос. Выглдят так, как будто пару раз запустили, ну или пару хакми порешали.

eqw>>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся.
eqw>>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml

CC>Она даже реюз стека не осилила правильно развернуть.
Развернуть реюз стека — это покруче, чем восстановить имена переменных.
Муа-ха-ха. Вы хоть когда-нибдуь что-нибдуь сложнее хакми при помощи IDA исследовали?

CC>Если PDB нет — сосите болт.
Вам уже правильно ответили — если вы не умеете серьезно заниматься реверсингом, займтесь чем-нибдуь другим, не надо свой непрофессионализм тут всем показывать, рассуждая о квалификации экспертов.

>Никаких имён кроме библиотечных функций из FLIRT не будет.
Спасибо, Капитан! Перечитайте еще раз мое ссобщение, там ниего нет про восстановление всех имен.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, eqw, Вы писали:

eqw>>Здравствуйте, мыщъх, Вы писали:

М>>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.
eqw>> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
М>не эксперту, а используемой им методике.
Именно эксперту. Методику можно использовать неправильно, эксперт может быть некомепетентным или предвзятым.
Методика суд интресует слабо — судья все равно не имеет квалификации, чтобы в ней разобраться, неужели это непонятно?

>при этом защита может потребовать "слепого" анализа.
Конечно, может. Артамоновы могли потребовать отвода эксперта, повторной экспертизы. Вместо этого они просто попробовали попридираться к словам эксперта, довольно неудачно.

eqw>>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д.
М>отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика

Ну так и обвинение Артамоновых не строится исключительно на одном этом заключении. Оно тоже выступает как улика.


>> все эти результаты тоже активно используются и в заключения экспертов
>> не фигурирует подробное описание химических реакций.
М>вообще-то фигурируют. не химических реакций,
Взаимоисключающие параграфы детектед.

>но суть методики излагается достаточно полно,
Ну вот и славно. Теперь осталось сделать так, чтобы формально определить, что такое "достаточно полно" в случае анализа софта. Ни в одном законе это, подозреваю, пока толком определено, т.к. область новая.

>а так же эксперт ссылается на авторитетные источники.
Итак, что у нас является авторитетным источником в области информационной безопасности? Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему?

>читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят:

Просто обвиняемым не хватает специальных знаний, чтобы троллить экспертов по ДНК. Вы много насильников, способных поддерживать разговор об анализе ДНК, видели?


>"такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.
ЭКсперт всегда пишет свое лично заключение, на основании своих, экспертных, знаний. Если бы методику мог применить и повторить кто угодно, никого эксперта не потребовалось бы.


eqw>>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
М>найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали.
Ага-ага. Сферические отпечатки в ваккууме.

>но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.
Т.е. вы сами прекрасно показали, что доказать подлинность отпечатков пальцев неспециалисту непросто. Для поиска используется шайтан-машина , решение принимает эксперт.

М>ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.
Я не люблю, когда черное упорно называют белым, а шваль из кардерской и вирмейкерской тусовки пытаются дурить голову неоперившейся школоте.

Здравствуйте, cserg, Вы писали:

C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.
C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
хз. у меня по самым скромным прикидкам набирается 15 лет опыта работы, есть O1A, которая в определенном смысле эквивалент Ph.D., даже круче. к моему скромному мнению прислушиваются и просят писать еще. "писать" в смысле отчеты, ассистируя экспертов в узких вопросах, в которых я более компетентен. например, в течении последних пяти лет я отслеживал "эволюцию" одного конкретного зловреда и копипасту его компонентов (часто без понимая сути его работы) по остальным творениям рук человеческих.

мои заключения могут выглядеть так:

1) в 2009 году была зафиксирована атака на неизвестную ранее дыру;
2) был получен intel, что код сплоита был опубликован на китайском приватном форуме;
3) вне китая о нем никто не знал и он не всплыл ни на одном из не-китайских сайтов;
4) атака использовала захардкоренные адреса китайской винды и таргетировала китайские сервисы;
5) в секции ресурсов торчит китайская кодовая страница, что указывает на локаль компа где его собирали;
6) исходя из (2) — (5) считаем, что по крайней мере один из авторов китаец или читает по китайски с китайской винды;

7) в 2010 году был обнаружен усовершенствованный вариант сплоита;
8) анализ сплоита показал, что он собран тем же компилятором с теми же исходниками;
9) в бинарнике обнаружены текстовые строки, представляющие собой украинские слова, записанные латиницей;
10) на английском форуме был обнаружен исходный текст данного компонента, опубликованный польским хакером;
11) основываясь на (8), можно предположить, что "китайский" хакер зашел на английский форум и скопипастил;
12) основываясь на (9) и (10) можно предположить плагиат польского хакера или он такой же поляк как китаец;

13) в 2011 году данный сплоит был включен в состав xxxx exploits kit, допиленный под его инфраструктуру;
14) intel на создателя xxxx показал, что он приобрел контрабандный товар в одессе у незнакомого проходимца;

15) в том же 2011 году была зафиксирована серия атак на китайские компы со слегка допиленным сплоитом образца 2009 года.


можно предположить, что авторство принадлежит китайским хакерам (которые тереторриально могут быть и в папуа-новой-гвинее), при сотрудничестве со братьями-славянами, пути которых затем разошлись и каждый стал поддерживать собственный бранч. но это только предположение. так сказать, рабочая версия. причем, в данном конкретном случае авторство принадлежит русскому украинцу, живущему в париже, и работающего на китайские полукриминальные группировки. и да, говорящего по китайски без словаря.