Здравствуйте, мыщъх, Вы писали:
М>это улика, но не более того.
Если эта строка есть в бинарнике с вирусом, обнаруженными ITW и в какой-нибдуь *.lib, лежащей рядом с исходниками, то это вполне себе хорошая улика.
Совершенно неважно, где у подозреваемого лежат сорцы, может, он их на эту машину с другой скопировал после компиляции.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
>> декомпилятор должен быть простым и прозрачным. eqw> Никто никому ничего не должен.
еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.
простой пример -- я избегаю заглавных букв на форумах и систематически путаю ш и щ, поскольку с детства не различаю их на слух. вполне себе методика, если использовать ее как улику. причем, ш и щ на больших объемах текста очень трудно подделать. некоторые слова я просто помню как пишутся. некоторые все-таки различаю на слух и пишу без ошибок. остальные пишу как получится.
есть специальное ПО, которое используется для анализа и экспертизы текстов. но это ПО не работает как черный ящик. и при желании в выводах программы защита может убедиться, выполнив независимый анализ другим ПО и воскликнув -- да тут же бага!!!
>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать". eqw>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают
благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, мыщъх, Вы писали:
>>> декомпилятор должен быть простым и прозрачным. eqw>> Никто никому ничего не должен. М>еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.
Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.
>>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать". eqw>>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают М>благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)
Так и в описанном случае решение принимает человек, используя результат работы антивируса как один из источников данных.
Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.
Здравствуйте, eqw, Вы писали:
eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
eqw>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.
по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки или машина в силу ее испорченности вместо ДНК проанализировала H2O и с удивлением обнаружила, что одна молекула воды ничем не отличается от другой (это я, конечно, утрирую).
в нормальных странах подобные экспертные выводы используются только в процессе следствия и до суда не доходят. если "шайтан-машина" выдала список подозреваемых и за ними установили наблюдения, в результате которого взяли с поличным, то эксперта могут пригласить в суд лишь в качестве декорации.
кстати, чикатилло хороший пример. сколько раз ему выносили приговор? метод перебора, однако.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, dmart, Вы писали:
D>Интересно ваше мнение.
К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?
Здравствуйте, Пофигист, Вы писали:
П>К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?
И какой же ты ответ на свой вопрос думаешь получить?
Да и дело как раз в деталях. Даже если они злобные хакеры, обвинение все равно несостоятельно (имхо).
Ну и интересно, держат ли еще этого "эксперта" в ЛК, а то позорище (тоже имхо).
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, eqw, Вы писали:
eqw>Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.
Николай совершенно прав. Эксперт должен использовать методику только ту которая может быть доказательно верной. То есть он должен был в ручную провести реасемблирование. Если использовались программы для реасемблирования которые выдают один и тот же код на разные входные данные то это доказывает что эти программы использовать нельзя. То есть судья должен был пригласить гарантированно независимых экспертов > 5. И все они должны были дать однозначное заключение.
Если судья этого не сделал то видимо и на попытки адвоката продемонстрировать что IDA дает одинаковую выдачу на разные входные данные он внимания не обратит.
То есть имеет место басманное правосудие. Но вообще оно в области IT преступлений во всем мире басманное.
Причем именно в IT-шных судебных процессах это особенно заметно, так как экспертов с противоположной стороны ( не IT-безопастность ) не бывает. А судья нихрена не понимает в этом IT.
Здравствуйте, Ромашка, Вы писали:
Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать?
Ну расскажи нам как из бинаря имена функций вытянуть? А то у меня что то без PDB ничего и близко похожего не получается.
Здравствуйте, eqw, Вы писали:
eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.
Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?
eqw>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся. eqw>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml
Вот тебе пример работы HexRays на первой попавшейся под руку функции:
Здравствуйте, dmart, Вы писали:
D>Привет всем. D>Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html D>Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда... D>Интересно ваше мнение.
Мнение такое: эксперт в целом ничего криминального не сказал, а в жж — одно передергивание на другом.
Здравствуйте, linuz, Вы писали:
A>>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике. L>Строки да, но названий функций и переменных там нет если их специально туда не включали.
я имел ввиду строки от разного рода assert'ов и прочих макросов использующих __FUNCTION__ и #
в некоторых программах такого добра навалом
IDA это *интерактивный* дизассемблер, предполагается что Вы должны поработать руками и восстановить сигнатуры этих функций. хотя бы соглашения вызова, не говорю уже про типы аргументов.
CC>А вот собственно код: CC>
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, мыщъх, Вы писали:
eqw>>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.
М>по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.
Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д. все эти результаты тоже активно используются и в заключения экспертов не фигурирует подробное описание химических реакций.
>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки
Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
М>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. eqw> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
не эксперту, а используемой им методике. при этом защита может потребовать "слепого" анализа. понимаете, есть разница между тем когда эксперту дали десять образцов крови/спермы/чего_угодно, и он сказал, что образец номер пять совпадает с данным на 70%, образец номер три на 10%, остальные вообще не совпадают.
совершенно другая история, когда эксперта спрашивают -- вот тут две пробирки. в одной сперма насильника, извлеченная из влагалища жертвы, а в другой сперма подозреваемого. совпадают ли они?
в данном случае, как следует из заключения "эксперта" мы имеем дело со сценарием номер два. вы _действительно_ не понимаете, что тут дурно пахнет?
eqw>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д.
отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика, но не более того. улика достаточная, чтобы снять кого-то с занимаемой должности, но чтобы отправить в тюрьму необходимо что-то еще.
> все эти результаты тоже активно используются и в заключения экспертов > не фигурирует подробное описание химических реакций.
вообще-то фигурируют. не химических реакций, конечно, но суть методики излагается достаточно полно, а так же эксперт ссылается на авторитетные источники. читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят: "такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.
>>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки eqw>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали. но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.
ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.
Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
Здравствуйте, cserg, Вы писали:
C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008. C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, eqw, Вы писали:
CC>Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?
Я-то как раз пользовался по прямому назначению, а вот что и сколько с ней делали вы — большой вопрос. Выглдят так, как будто пару раз запустили, ну или пару хакми порешали.
eqw>>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся. eqw>>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml
CC>Она даже реюз стека не осилила правильно развернуть.
Развернуть реюз стека — это покруче, чем восстановить имена переменных.
Муа-ха-ха. Вы хоть когда-нибдуь что-нибдуь сложнее хакми при помощи IDA исследовали?
CC>Если PDB нет — сосите болт.
Вам уже правильно ответили — если вы не умеете серьезно заниматься реверсингом, займтесь чем-нибдуь другим, не надо свой непрофессионализм тут всем показывать, рассуждая о квалификации экспертов.
>Никаких имён кроме библиотечных функций из FLIRT не будет.
Спасибо, Капитан! Перечитайте еще раз мое ссобщение, там ниего нет про восстановление всех имен.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, мыщъх, Вы писали:
М>>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. eqw>> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем. М>не эксперту, а используемой им методике.
Именно эксперту. Методику можно использовать неправильно, эксперт может быть некомепетентным или предвзятым.
Методика суд интресует слабо — судья все равно не имеет квалификации, чтобы в ней разобраться, неужели это непонятно?
>при этом защита может потребовать "слепого" анализа.
Конечно, может. Артамоновы могли потребовать отвода эксперта, повторной экспертизы. Вместо этого они просто попробовали попридираться к словам эксперта, довольно неудачно.
eqw>>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д. М>отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика
Ну так и обвинение Артамоновых не строится исключительно на одном этом заключении. Оно тоже выступает как улика.
>> все эти результаты тоже активно используются и в заключения экспертов >> не фигурирует подробное описание химических реакций. М>вообще-то фигурируют. не химических реакций,
Взаимоисключающие параграфы детектед.
>но суть методики излагается достаточно полно,
Ну вот и славно. Теперь осталось сделать так, чтобы формально определить, что такое "достаточно полно" в случае анализа софта. Ни в одном законе это, подозреваю, пока толком определено, т.к. область новая.
>а так же эксперт ссылается на авторитетные источники.
Итак, что у нас является авторитетным источником в области информационной безопасности? Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему?
>читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят:
Просто обвиняемым не хватает специальных знаний, чтобы троллить экспертов по ДНК. Вы много насильников, способных поддерживать разговор об анализе ДНК, видели?
>"такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.
ЭКсперт всегда пишет свое лично заключение, на основании своих, экспертных, знаний. Если бы методику мог применить и повторить кто угодно, никого эксперта не потребовалось бы.
eqw>>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются М>найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали.
Ага-ага. Сферические отпечатки в ваккууме.
>но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.
Т.е. вы сами прекрасно показали, что доказать подлинность отпечатков пальцев неспециалисту непросто. Для поиска используется шайтан-машина , решение принимает эксперт.
М>ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.
Я не люблю, когда черное упорно называют белым, а шваль из кардерской и вирмейкерской тусовки пытаются дурить голову неоперившейся школоте.
Здравствуйте, cserg, Вы писали:
C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008. C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
хз. у меня по самым скромным прикидкам набирается 15 лет опыта работы, есть O1A, которая в определенном смысле эквивалент Ph.D., даже круче. к моему скромному мнению прислушиваются и просят писать еще. "писать" в смысле отчеты, ассистируя экспертов в узких вопросах, в которых я более компетентен. например, в течении последних пяти лет я отслеживал "эволюцию" одного конкретного зловреда и копипасту его компонентов (часто без понимая сути его работы) по остальным творениям рук человеческих.
мои заключения могут выглядеть так:
1) в 2009 году была зафиксирована атака на неизвестную ранее дыру;
2) был получен intel, что код сплоита был опубликован на китайском приватном форуме;
3) вне китая о нем никто не знал и он не всплыл ни на одном из не-китайских сайтов;
4) атака использовала захардкоренные адреса китайской винды и таргетировала китайские сервисы;
5) в секции ресурсов торчит китайская кодовая страница, что указывает на локаль компа где его собирали;
6) исходя из (2) — (5) считаем, что по крайней мере один из авторов китаец или читает по китайски с китайской винды;
7) в 2010 году был обнаружен усовершенствованный вариант сплоита;
8) анализ сплоита показал, что он собран тем же компилятором с теми же исходниками;
9) в бинарнике обнаружены текстовые строки, представляющие собой украинские слова, записанные латиницей;
10) на английском форуме был обнаружен исходный текст данного компонента, опубликованный польским хакером;
11) основываясь на (8), можно предположить, что "китайский" хакер зашел на английский форум и скопипастил;
12) основываясь на (9) и (10) можно предположить плагиат польского хакера или он такой же поляк как китаец;
13) в 2011 году данный сплоит был включен в состав xxxx exploits kit, допиленный под его инфраструктуру;
14) intel на создателя xxxx показал, что он приобрел контрабандный товар в одессе у незнакомого проходимца;
15) в том же 2011 году была зафиксирована серия атак на китайские компы со слегка допиленным сплоитом образца 2009 года.
можно предположить, что авторство принадлежит китайским хакерам (которые тереторриально могут быть и в папуа-новой-гвинее), при сотрудничестве со братьями-славянами, пути которых затем разошлись и каждый стал поддерживать собственный бранч. но это только предположение. так сказать, рабочая версия. причем, в данном конкретном случае авторство принадлежит русскому украинцу, живущему в париже, и работающего на китайские полукриминальные группировки. и да, говорящего по китайски без словаря.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.