Здравствуйте, dmart, Вы писали:
D>Интересно ваше мнение.
Наше мнение — ЖЖ автора пропитан баттхертом и из-за этого лишен объективности и иногда автор вообще невменяем.
Странно такую чущь тащить на программерский форум.
Простой пример
Да будет известно эксперту Ануфриеву, что компиляция – это процесс, происходящий с потерей данных, имена функций и переменных при трансляции в машинный код просто удаляются, сам же код оптимизируется и может быть частично изменён.
К примеру, inline функции – функция как таковая исчезает, а её код вставляется в места вызова этой inline функции, и многое-многое другое.
Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.
В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся.
Здравствуйте, eqw, Вы писали:
eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.
Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?
eqw>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся. eqw>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml
Вот тебе пример работы HexRays на первой попавшейся под руку функции:
Здравствуйте, eqw, Вы писали:
eqw>Строка квалификация "эксперт-вирусный аналитик, стаж работы 3 года". Эту квалификацию он вполне могу приобрести, работая в ЛК, образование тут вообще не при чем.
в ЛК работают одни лохи и пастухи. их говноантивирус ищет исключительно текстовые строки в файлах. поэтому хочешь сделать UrlDownloadToFileW делай через GetProcAddress и склеивай строки
и эти чудаки на букву м рассуждают что то о деревьях. ищут американский след в иранских вирусах. разгадывают загадку компилятора diqu. говноэксперты юные дарования 22 лет от роду
Привет всем.
Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html
Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда...
Интересно ваше мнение.
Здравствуйте, dmart, Вы писали:
D>Интересно ваше мнение.
К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?
Здравствуйте, dmart, Вы писали:
D>Привет всем. D>Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html D>Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда... D>Интересно ваше мнение.
да, бинарник можно восстановить вплоть до осмысленных названий функций и переменных.
если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике.
два куска кода можно сравнить, и даже если имена переменных не совпадают, можно сказать что
int add(int a, int b) { return a+b; }
имеет ту же функциональность что и
int sub1(int arg1, int arg2) { return arg1+arg2; }
Здравствуйте, dmart, Вы писали:
D>А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами. D>Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз.
Оставив в стороне ваше мнение об экспертизе, расскажите, пожалуйста, подробнее, как вы определили, что "злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз" и почему в таком случае этот факт не был учтен следствием? Это же чистой воды подлог, если правда. Из текста в ЖЖ это совсем непонятно.
>Я не знаю, что там за код оказался.
Ну это любой на вашем месте бы сказал D>БОлее того, исследование ЕСЕТа написано предвзято.
Ну конечно!
Здравствуйте, Ромашка, Вы писали:
Р>Здравствуйте, dmart, Вы писали: D>>Написал так радостно. А на самом деле очередную чушь. Это страка значит что был сгенерён pdb файл при компиляции, и ничего больше.
Р>Дима, это подпись. Это значит, что дальше сравнение бинарников можно проводить только и исключительно для того, чтобы срубить побольше бабла с заказчика.
это подпись? мама, роди меня обратно. щоб ваш банк такие подписи использовал. и по ним позволят переводить деньги с вашего счета.
ответьте на простой вопрос: какова вероятность, что совершенно посторонний хакер вася пупкин
1) юзает eclipse и держит проекты в корне E:
2) ботнет называет ботнетом, а не блакджеком
это улика, но не более того. если у подозреваемого сорцы лежает именно там -- его можно начинать прорабатывать, но на доказательство это не тянет. у меня, кстати, тоже есть сорцы по аналогичному пути. только я не автор. я просто скачал zip из интернета, кинул в корень на E: и распаковал с путями.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Abyx, Вы писали:
A>да, бинарник можно восстановить вплоть до осмысленных названий функций и переменных.
Восстановить можно имена классов исключений если они имеют виртуальный деструктор, они сохраняются в замангленном виде для RTTI. Имена функций и переменных уникального (не библиотечного) кода не восстанавливаются в принципе. Потому что в бинарнике их тупо нет ни в каком виде. Их можно самому заново придумать, но никак не восстановить.
Такие заново придуманные имена функций не могут быть основанием для экспертного заключения, ибо иначе можно все что угодно написать.
A>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике.
Строки да, но названий функций и переменных там нет если их специально туда не включали.
A>два куска кода можно сравнить, и даже если имена переменных не совпадают, можно сказать что A>int add(int a, int b) { return a+b; } A>имеет ту же функциональность что и A>int sub1(int arg1, int arg2) { return arg1+arg2; }
Что-то я сомневаюсь что этот експерт делал такой весьма нетривиальный анализ. Для этого нужна действительно высокая квалификация, иначе можно взять пару библиотечных функций и каждую вторую программу признать малварей на том основании что оно местами похоже.
Здравствуйте, Ромашка, Вы писали:
Р>Здравствуйте, dmart, Вы писали: D>>Привет всем.
Р>Пока, Дима.
Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь?
вот цитата из текста по ссылке:
...если Вы откроете Ida Pro... Она может восстанавливать и наименования функций, она восстанавливает все библиотеки, системные. Более того, есть дополнительные модули, которые можно писать и самому, которые даже и в исходные коды часть могут вернуть.
вам не кажется, что это бред сивой кобылы? ida-pro -- черный ящик. восстановить имена функций она может только если это библиотечные функции или имена функций по тем или иным причинам присутствуют в бинарнике. однако, сходство имен функций ни о чем не говорит, т.к. нужно доказать, что это уникальные имена и они не принадлежат никакой другой программе, а присутствуют только в анализируемом бинарнике.
про исходные коды это бред в квадрате. компиляция это преобразование А, а декомпиляция это преобразование Б. между А и Б нет ничего общего. декомпиляция не есть процесс обратный компиляции.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Ромашка, Вы писали:
Р>Здравствуйте, мыщъх, Вы писали:
Р>Мыщъх, ты о них слишком хорошего мнения.
а классная у вас цветовая раскраска в иде! но вы поскипали цитату "эксперта", который говорил, что ида _восстанавливает_ имена функций. очевидно, восстанавливает она через FLIRT. там какие-то еще плагины упоминались -- хз что там "эксперт" скачал из тырнета. есть и такие плаги, которые восстанавливают имена криптографических функций с той или иной вероятностью угадать или промазать.
нормальный эксперт оглашает методики анализа. но этот "эксперт" об их существовании даже не подозревает. отберите у его иду, дайте ему грип. тогда экспертный вывод о родственных связях между exe и сорцами строится на совпадении текстовых строк, среди которых, возможно, есть и уникальные.
на приведенном вами фрагменте виден путь к .pdb файлу, который, вай-вай, за уникальный прокатывает только в судах, где приговор выносится еще до начала заседания.
'botnet' это очень слабый аргумент. практически каждый второй хацкер даст такое название директории.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Ромашка, Вы писали:
Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать? Тем более приводя ссылку на отчет есета, где весь функционал и имена функций расписаны по самое не хочу... мы ж не только прочитать можем, мы еще и понимаем, что там написано. Ладно ты, геймдев это штука заразная, но брат-то твой компилеры писал. Поговори с ним, пусть он тебе хоть что-то объяснит, чтобы ты так не позорился на весь инет.
Там совсем другое доказывали, что "эксперт" — фуфло. Говорит общие фразы, а как спрашивают конкретику — "я не помню", "это не требуется", и т.п.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, мыщъх, Вы писали: М>вам не кажется, что это бред сивой кобылы? ida-pro -- черный ящик. восстановить имена функций она может только если это библиотечные функции или имена функций по тем или иным причинам присутствуют в бинарнике. однако, сходство имен функций ни о чем не говорит, т.к. нужно доказать, что это уникальные имена и они не принадлежат никакой другой программе, а присутствуют только в анализируемом бинарнике.
Мыщъх, ты о них слишком хорошего мнения.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, dmart, Вы писали:
eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев,
для нормального суда ида не аргумент. если вывод "эксперта" базируется на сходстве результатов работы декомпилятора с исходными текстами, то декомпилятор должен быть простым и прозрачным. а если это "черный ящик", то такой цырк нам не нужен, поскольку, де-юре "эксперт" говорит -- мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать". очевидно же где тут запятая.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, мыщъх, Вы писали:
>>> декомпилятор должен быть простым и прозрачным. eqw>> Никто никому ничего не должен. М>еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.
Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.
>>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать". eqw>>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают М>благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)
Так и в описанном случае решение принимает человек, используя результат работы антивируса как один из источников данных.
Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.
Здравствуйте, eqw, Вы писали:
eqw>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев, как раз умеет восстанавливать исходный код (с разницей до имен переменных, иногда с именами переменных), в том числе оптимизированный, в том числе с inline-функциями. Называется это декомпиляция, про разницу между декомпиляцией и дизассемблированием, автор, видимо, не в курсе.
Здравствуйте, Пофигист, Вы писали:
П>К чёрту детали. Самое главное где — вы с братом реально злобные хакеры, которые просто пытаются крючкотворски отмазаться, или невинные жертвы кровавой гэбни?
И какой же ты ответ на свой вопрос думаешь получить?
Да и дело как раз в деталях. Даже если они злобные хакеры, обвинение все равно несостоятельно (имхо).
Ну и интересно, держат ли еще этого "эксперта" в ЛК, а то позорище (тоже имхо).
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
IDA это *интерактивный* дизассемблер, предполагается что Вы должны поработать руками и восстановить сигнатуры этих функций. хотя бы соглашения вызова, не говорю уже про типы аргументов.
CC>А вот собственно код: CC>
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, eqw, Вы писали:
CC>Ты хоть ей (IDA) сам всерьёз пользовался, дитятко?
Я-то как раз пользовался по прямому назначению, а вот что и сколько с ней делали вы — большой вопрос. Выглдят так, как будто пару раз запустили, ну или пару хакми порешали.
eqw>>В IDA есть возможность декомпиляции кода, произведеного распространенными компиляторами, техники оптимизации которых хорошо известны и реверсятся. eqw>>Для всех желающих — читаем про hex-rays https://www.hex-rays.com/products/decompiler/index.shtml
CC>Она даже реюз стека не осилила правильно развернуть.
Развернуть реюз стека — это покруче, чем восстановить имена переменных.
Муа-ха-ха. Вы хоть когда-нибдуь что-нибдуь сложнее хакми при помощи IDA исследовали?
CC>Если PDB нет — сосите болт.
Вам уже правильно ответили — если вы не умеете серьезно заниматься реверсингом, займтесь чем-нибдуь другим, не надо свой непрофессионализм тут всем показывать, рассуждая о квалификации экспертов.
>Никаких имён кроме библиотечных функций из FLIRT не будет.
Спасибо, Капитан! Перечитайте еще раз мое ссобщение, там ниего нет про восстановление всех имен.
Здравствуйте, svteem, Вы писали:
S>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
Да прямо неуловимый Джо какой-то. Сомневаюсь, что было 100 постов, во всяком случае, я не видел. Если и было — какая-нибудь ветка, начавшаяся с нарушения правил, за то и уехавшая в треш.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, dmart, Вы писали:
D>Привет всем. D>Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html D>Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда... D>Интересно ваше мнение.
Почитал. Мое мнение: эксперту следовало сделать раздел исследование в три раза подробней и сохранить журнал исследования как раз на такой случай, но никаких явных нестыковок, указывающих что он плохой или что-то выдумал, я не вижу. Самый скользкий момент — вместо ответа, что делает конкретно бинарник, ответил что делает ботнет.
Обоснуйте неясность заключения эксперта и добейтесь подробного заключения, или другого эксперта. Хотя судя по тому как вопросы перед экспертизой были сформулированы, другая экспертиза придет точно к такому же выводу (есть бинарник, который детектится и исходники ботнета, надо сделать вывод об их вредоносности — что, есть какая-то надежда? не считая надежды на то, что эксперт соврал и это были исходники линукса, а не ботнета, но за это уголовная ответственность же есть).
Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать? Тем более приводя ссылку на отчет есета, где весь функционал и имена функций расписаны по самое не хочу... мы ж не только прочитать можем, мы еще и понимаем, что там написано. Ладно ты, геймдев это штука заразная, но брат-то твой компилеры писал. Поговори с ним, пусть он тебе хоть что-то объяснит, чтобы ты так не позорился на весь инет.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, linuz, Вы писали: A>>да, бинарник можно восстановить вплоть до осмысленных названий функций и переменных. L>Восстановить можно имена классов исключений если они имеют виртуальный деструктор, они сохраняются в замангленном виде для RTTI. Имена функций и переменных уникального (не библиотечного) кода не восстанавливаются в принципе. Потому что в бинарнике их тупо нет ни в каком виде. Их можно самому заново придумать, но никак не восстановить.
Там мальчик выложил отчет ESET-а. Насколько я его понял, внутрях червя фреймворк для плагинов, то бишь некислая куча имен методов, классов и тому подобное там есть. Наверное, их и восстановили.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, Abyx, Вы писали:
A>да, бинарник можно восстановить вплоть до осмысленных названий функций и переменных. A>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике.
Угу, а еще паспортные данные автора. Коммерческие ботнеты же идиоты пишут.
A>два куска кода можно сравнить, и даже если имена переменных не совпадают, можно сказать что A>int add(int a, int b) { return a+b; } A>имеет ту же функциональность что и A>int sub1(int arg1, int arg2) { return arg1+arg2; }
А это, скорее всего, заинлайнится и даже функцией не будет. Зато, в разных местах могут использоваться разные регистры и/или разная адресация, код может быть неидентичен.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ромашка, Вы писали:
Р>Здравствуйте, мыщъх, Вы писали: М>>вам не кажется, что это бред сивой кобылы? ida-pro -- черный ящик. восстановить имена функций она может только если это библиотечные функции или имена функций по тем или иным причинам присутствуют в бинарнике. однако, сходство имен функций ни о чем не говорит, т.к. нужно доказать, что это уникальные имена и они не принадлежат никакой другой программе, а присутствуют только в анализируемом бинарнике.
Р>Мыщъх, ты о них слишком хорошего мнения.
Р>
Написал так радостно. А на самом деле очередную чушь. Это страка значит что был сгенерён pdb файл при компиляции, и ничего больше.
Иди ты считаешь что малварь распространяют с многомегабайтными pdb файлами, чтобы облегчить работу таких "экспертов" как Ануфриев?
Здравствуйте, dmart, Вы писали: D>Написал так радостно. А на самом деле очередную чушь. Это страка значит что был сгенерён pdb файл при компиляции, и ничего больше.
Дима, это подпись. Это значит, что дальше сравнение бинарников можно проводить только и исключительно для того, чтобы срубить побольше бабла с заказчика.
D>Иди ты считаешь что малварь распространяют с многомегабайтными pdb файлами, чтобы облегчить работу таких "экспертов" как Ануфриев?
Я допускаю, что людям, оставившим такое в бинарнике, хватит на подобное дурости.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, Ромашка, Вы писали:
Р>Дима, это подпись. Это значит, что дальше сравнение бинарников можно проводить только и исключительно для того, чтобы срубить побольше бабла с заказчика.
В строчке пути к pdb фамилия автора не написана. В экспертизе написано что исходники лежали в C:\Projects. Как-то не вяжется одно с другим.
Здравствуйте, linuz, Вы писали: L>В строчке пути к pdb фамилия автора не написана. В экспертизе написано что исходники лежали в C:\Projects. Как-то не вяжется одно с другим.
Прочитал экспертизу. Сорри, почему-то думал, что сравнивают бинарники (разных версий?). Да, не вяжется. Да и пофиг, анализ ботнета есть, исходники есть, квалификация эксперта достаточна, чтобы связать одно с другим. Один черт исходников недостаточно, это только средство. Нужно доказывать сам факт совершения правонарушения. Если у следствия этого нет, то им ничего не будет, если у следствия это есть, то даже отсутствие исходников их не спасет.
ЗЫ. Дима, вы вообще серьезно? Вас поймали с исходниками крупнейшего ботнета и вы пытаетесь доказать, что это какой-то другой ботнет??? Это типа вас повязали с калашом в руках над еще теплым трупом и вы пытаетесь доказать, что у вас в руках не калаш, а ТТ потому-что "функционал совпадает"?
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, Ромашка, Вы писали:
Р>Здравствуйте, linuz, Вы писали: L>>В строчке пути к pdb фамилия автора не написана. В экспертизе написано что исходники лежали в C:\Projects. Как-то не вяжется одно с другим.
Р>Прочитал экспертизу. Сорри, почему-то думал, что сравнивают бинарники (разных версий?). Да, не вяжется. Да и пофиг, анализ ботнета есть, исходники есть, квалификация эксперта достаточна, чтобы связать одно с другим. Один черт исходников недостаточно, это только средство. Нужно доказывать сам факт совершения правонарушения. Если у следствия этого нет, то им ничего не будет, если у следствия это есть, то даже отсутствие исходников их не спасет.
Какая у него квалификация. 2 года работы. И полное отсутствие знаний в реверс энжиниренге? Это же понятно при общении с ним.
Р>ЗЫ. Дима, вы вообще серьезно? Вас поймали с исходниками крупнейшего ботнета и вы пытаетесь доказать, что это какой-то другой ботнет??? Это типа вас повязали с калашом в руках над еще теплым трупом и вы пытаетесь доказать, что у вас в руках не калаш, а ТТ потому-что "функционал совпадает"?
А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами.
Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз. Я не знаю, что там за код оказался.
БОлее того, исследование ЕСЕТа написано предвзято. Если поднять статистику по спаму M86, то окажется что ботнет первый с конца. Когда это он крупнейшим был?
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, dmart, Вы писали:
eqw>>Да будет известно автору, что IDA, на которую несколько раз мягко намекает эксперт Ануфриев,
М>для нормального суда ида не аргумент.
Да нет, почему. Суд принимает во внимание мнение экспертов. Если эксперта кто-то считает некомпетентным или предвзятым, его имеют право отвести.
> если вывод "эксперта" базируется на сходстве результатов работы декомпилятора с исходными текстами, то декомпилятор должен быть простым и прозрачным.
Никто никому ничего не должен.
>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать".
Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают
Здравствуйте, мыщъх, Вы писали:
М>это улика, но не более того.
Если эта строка есть в бинарнике с вирусом, обнаруженными ITW и в какой-нибдуь *.lib, лежащей рядом с исходниками, то это вполне себе хорошая улика.
Совершенно неважно, где у подозреваемого лежат сорцы, может, он их на эту машину с другой скопировал после компиляции.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
>> декомпилятор должен быть простым и прозрачным. eqw> Никто никому ничего не должен.
еще как должен. или методика общепринятая или же эксперт объясняет почему он думает так, а не иначе.
простой пример -- я избегаю заглавных букв на форумах и систематически путаю ш и щ, поскольку с детства не различаю их на слух. вполне себе методика, если использовать ее как улику. причем, ш и щ на больших объемах текста очень трудно подделать. некоторые слова я просто помню как пишутся. некоторые все-таки различаю на слух и пишу без ошибок. остальные пишу как получится.
есть специальное ПО, которое используется для анализа и экспертизы текстов. но это ПО не работает как черный ящик. и при желании в выводах программы защита может убедиться, выполнив независимый анализ другим ПО и воскликнув -- да тут же бага!!!
>>мы засунули бинарник в ЭВМ, машина пожжужала, покряхтеля и выдала результат "казнить нельзя помиловать". eqw>Забавно, что современные антивирусы с эмуляторами и эвристиками примерно так и работают
благо, антивирусы никого не казнят, хотя ошибочные срабатывания приводят к убыткам разработчиков софта, но они могут быть обжалованы в судебном порядке (если есть что обжаловать)
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
eqw>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.
по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки или машина в силу ее испорченности вместо ДНК проанализировала H2O и с удивлением обнаружила, что одна молекула воды ничем не отличается от другой (это я, конечно, утрирую).
в нормальных странах подобные экспертные выводы используются только в процессе следствия и до суда не доходят. если "шайтан-машина" выдала список подозреваемых и за ними установили наблюдения, в результате которого взяли с поличным, то эксперта могут пригласить в суд лишь в качестве декорации.
кстати, чикатилло хороший пример. сколько раз ему выносили приговор? метод перебора, однако.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, eqw, Вы писали:
eqw>Эксперт пишет заключение, отвечая на вопросы следствия. Следствию детали его, экспертных знаний, котоыре он несоклько лет приобретил, совершенно неинтересны и не нужны. Судья все равно не сможет в них разобраться.
Николай совершенно прав. Эксперт должен использовать методику только ту которая может быть доказательно верной. То есть он должен был в ручную провести реасемблирование. Если использовались программы для реасемблирования которые выдают один и тот же код на разные входные данные то это доказывает что эти программы использовать нельзя. То есть судья должен был пригласить гарантированно независимых экспертов > 5. И все они должны были дать однозначное заключение.
Если судья этого не сделал то видимо и на попытки адвоката продемонстрировать что IDA дает одинаковую выдачу на разные входные данные он внимания не обратит.
То есть имеет место басманное правосудие. Но вообще оно в области IT преступлений во всем мире басманное.
Причем именно в IT-шных судебных процессах это особенно заметно, так как экспертов с противоположной стороны ( не IT-безопастность ) не бывает. А судья нихрена не понимает в этом IT.
Здравствуйте, Ромашка, Вы писали:
Р>Я вот не вкуриваю, вы идиоты или только прикидываетесь? Нет, я понимаю, можно журналистам втереть про то, что имена функций из бинарника нельзя вытянуть, но нам-то зачем мозги полоскать?
Ну расскажи нам как из бинаря имена функций вытянуть? А то у меня что то без PDB ничего и близко похожего не получается.
Здравствуйте, dmart, Вы писали:
D>Привет всем. D>Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html D>Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда... D>Интересно ваше мнение.
Мнение такое: эксперт в целом ничего криминального не сказал, а в жж — одно передергивание на другом.
Здравствуйте, linuz, Вы писали:
A>>если в бинарнике есть названия функций и переменных (строки), то можно восстановить их как они были в исходнике. L>Строки да, но названий функций и переменных там нет если их специально туда не включали.
я имел ввиду строки от разного рода assert'ов и прочих макросов использующих __FUNCTION__ и #
в некоторых программах такого добра навалом
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, мыщъх, Вы писали:
eqw>>Вообще странные у вас аргументы. Так можно сказать, что ни одному мнению экспертов доверять нельзя, т.к. они пользуются какими-то шайтан-машинами, котоыре непонятно как работают и иногда работают неправильно. И привести в пример историю с анализами Чикатилло.
М>по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого.
Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д. все эти результаты тоже активно используются и в заключения экспертов не фигурирует подробное описание химических реакций.
>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки
Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
М>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. eqw> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем.
не эксперту, а используемой им методике. при этом защита может потребовать "слепого" анализа. понимаете, есть разница между тем когда эксперту дали десять образцов крови/спермы/чего_угодно, и он сказал, что образец номер пять совпадает с данным на 70%, образец номер три на 10%, остальные вообще не совпадают.
совершенно другая история, когда эксперта спрашивают -- вот тут две пробирки. в одной сперма насильника, извлеченная из влагалища жертвы, а в другой сперма подозреваемого. совпадают ли они?
в данном случае, как следует из заключения "эксперта" мы имеем дело со сценарием номер два. вы _действительно_ не понимаете, что тут дурно пахнет?
eqw>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д.
отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика, но не более того. улика достаточная, чтобы снять кого-то с занимаемой должности, но чтобы отправить в тюрьму необходимо что-то еще.
> все эти результаты тоже активно используются и в заключения экспертов > не фигурирует подробное описание химических реакций.
вообще-то фигурируют. не химических реакций, конечно, но суть методики излагается достаточно полно, а так же эксперт ссылается на авторитетные источники. читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят: "такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.
>>именно в силу "шайтан-машины". т.к. у защиты слишком много вопросов. как работает машина? что она ищет и как сличает? _действительно_ ли это уникальные метки eqw>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются
найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали. но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.
ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008.
Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
Здравствуйте, cserg, Вы писали:
C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008. C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, мыщъх, Вы писали:
М>>> по этой причине ДНК до сих пор остается на усмотрение суда и в ряде случаев это акт доброй воли подозреваемого. eqw>> Итак, суд решает, доверять эксперту или нет? Никакой разницы с обсуждаемым случаем. М>не эксперту, а используемой им методике.
Именно эксперту. Методику можно использовать неправильно, эксперт может быть некомепетентным или предвзятым.
Методика суд интресует слабо — судья все равно не имеет квалификации, чтобы в ней разобраться, неужели это непонятно?
>при этом защита может потребовать "слепого" анализа.
Конечно, может. Артамоновы могли потребовать отвода эксперта, повторной экспертизы. Вместо этого они просто попробовали попридираться к словам эксперта, довольно неудачно.
eqw>>Более того, помимо днк есть ещё отпечатки пальцев, волосы, которые достаёт из-под ногтей и.т.д. М>отпечатки пальцев -- вы читали популярную литературу на тему? для справки -- мои пальчики совпадают (частично) с отпечатками одного нехорошего человека. это создает некоторые проблемы с визами, которые выдаются с задержкой, но в целом полет нормальный. это как бы намекает на то, что отпечатки это всего лишь улика
Ну так и обвинение Артамоновых не строится исключительно на одном этом заключении. Оно тоже выступает как улика.
>> все эти результаты тоже активно используются и в заключения экспертов >> не фигурирует подробное описание химических реакций. М>вообще-то фигурируют. не химических реакций,
Взаимоисключающие параграфы детектед.
>но суть методики излагается достаточно полно,
Ну вот и славно. Теперь осталось сделать так, чтобы формально определить, что такое "достаточно полно" в случае анализа софта. Ни в одном законе это, подозреваю, пока толком определено, т.к. область новая.
>а так же эксперт ссылается на авторитетные источники.
Итак, что у нас является авторитетным источником в области информационной безопасности? Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему?
>читая протоколы судебных заседаний, которые не есть тупая подстава, вы можете обнаружить, что эксперты не говорят "тут помню, тут не помню, а вообще если вы не понимаете японский это ваша проблема. вот я читаю ДНК как новеллу и прусь от своей крутизны". эксперты говорят:
Просто обвиняемым не хватает специальных знаний, чтобы троллить экспертов по ДНК. Вы много насильников, способных поддерживать разговор об анализе ДНК, видели?
>"такие-то и такие-то уважаемые авторитетные лица и организации опубликовали там-то и там-то такие методики, которыми я и руководствовался". если же эксперт имеет _свое_ персональное мнение, основанное на его _личном_ опыте, то это идет мелким шрифтом с акцентом, что это личное мнение эксперта.
ЭКсперт всегда пишет свое лично заключение, на основании своих, экспертных, знаний. Если бы методику мог применить и повторить кто угодно, никого эксперта не потребовалось бы.
eqw>>Расскажите это тем, кто делает поиск отпечатков пальцев, они посмеются М>найденные отпечатки можно продемонстрировать показав две фотографии и развернув их так, чтобы они совпали.
Ага-ага. Сферические отпечатки в ваккууме.
>но обычно полного совпадения не наблюдается, т.к. качественные отпечатки остаются редко. то есть вы _вообще_ не в теме.
Т.е. вы сами прекрасно показали, что доказать подлинность отпечатков пальцев неспециалисту непросто. Для поиска используется шайтан-машина , решение принимает эксперт.
М>ЗЫ. не понимаю вашей упертости. впрочем, это ваша страна и вам в ней жить. мне все это как-то по барабану.
Я не люблю, когда черное упорно называют белым, а шваль из кардерской и вирмейкерской тусовки пытаются дурить голову неоперившейся школоте.
Здравствуйте, cserg, Вы писали:
C>Непонятно, Ануфриев окончил ВУЗ в 2010 году, а экспертом выступает с 2008. C>Подскажите, как можно стать экспертом в 22 года, не имея высшего образования? Я тоже так хочу.
хз. у меня по самым скромным прикидкам набирается 15 лет опыта работы, есть O1A, которая в определенном смысле эквивалент Ph.D., даже круче. к моему скромному мнению прислушиваются и просят писать еще. "писать" в смысле отчеты, ассистируя экспертов в узких вопросах, в которых я более компетентен. например, в течении последних пяти лет я отслеживал "эволюцию" одного конкретного зловреда и копипасту его компонентов (часто без понимая сути его работы) по остальным творениям рук человеческих.
мои заключения могут выглядеть так:
1) в 2009 году была зафиксирована атака на неизвестную ранее дыру;
2) был получен intel, что код сплоита был опубликован на китайском приватном форуме;
3) вне китая о нем никто не знал и он не всплыл ни на одном из не-китайских сайтов;
4) атака использовала захардкоренные адреса китайской винды и таргетировала китайские сервисы;
5) в секции ресурсов торчит китайская кодовая страница, что указывает на локаль компа где его собирали;
6) исходя из (2) — (5) считаем, что по крайней мере один из авторов китаец или читает по китайски с китайской винды;
7) в 2010 году был обнаружен усовершенствованный вариант сплоита;
8) анализ сплоита показал, что он собран тем же компилятором с теми же исходниками;
9) в бинарнике обнаружены текстовые строки, представляющие собой украинские слова, записанные латиницей;
10) на английском форуме был обнаружен исходный текст данного компонента, опубликованный польским хакером;
11) основываясь на (8), можно предположить, что "китайский" хакер зашел на английский форум и скопипастил;
12) основываясь на (9) и (10) можно предположить плагиат польского хакера или он такой же поляк как китаец;
13) в 2011 году данный сплоит был включен в состав xxxx exploits kit, допиленный под его инфраструктуру;
14) intel на создателя xxxx показал, что он приобрел контрабандный товар в одессе у незнакомого проходимца;
15) в том же 2011 году была зафиксирована серия атак на китайские компы со слегка допиленным сплоитом образца 2009 года.
можно предположить, что авторство принадлежит китайским хакерам (которые тереторриально могут быть и в папуа-новой-гвинее), при сотрудничестве со братьями-славянами, пути которых затем разошлись и каждый стал поддерживать собственный бранч. но это только предположение. так сказать, рабочая версия. причем, в данном конкретном случае авторство принадлежит русскому украинцу, живущему в париже, и работающего на китайские полукриминальные группировки. и да, говорящего по китайски без словаря.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
>>а так же эксперт ссылается на авторитетные источники. eqw> Итак, что у нас является авторитетным источником в области информационной безопасности? eqw> Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему? http://www.garant.ru/news/425479/
"...экспертиза проводится на договорной основе одним или несколькими экспертами и (или) экспертными организациями, аккредитованными Роскомнадзором"
но вообще-то речь шла об источниках. то бишь библиографический указатель. например, Правомерность использования компьютерных технологий при производстве экспертизы // Е.В. Антонова // Эксперт-криминалист. – М.: Юрист, 2008
где отсылки к криминалистической литературе? вы упомянули отпечатки пальцев. да, тут задействована "шайтан-машина", но... сертифицированная. и за ее обслуживанием следят специальные люди и под страхом уголовного преследования ставят в журнале роспись, что все работает на зашибись.
ида уже сертифицирована для криминалистики? кто-то следит за том, чтобы она была установлена, сконфигурирована, чтобы не было лишних плагинов? где описание рабочей станции? а что если там лохматая винда или браузер не обновлен и его захачили и удаленно начали рулить машиной и "эксперт" вообще хз что анализировал.
блин, я хоть не эксперт, но я хотя бы свечку держал и как бы в курсе жесткости требований. одно из требований -- машина на которой проводилась экспертиза должна быть стерильна. должен быть протокол установки по и конфигурирования. она отрубается от иннета и по окончании экспертизы обесточивается и кладется на холд, чтобы потом можно было выяснить -- может она сама по себе зоопарк троянов и бэкдоров.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Спасибо, что дали мне ссылки на Болонский процесс. Я забыл, что сейчас есть бакалавры, специалисты, магистры.
Теперь непонятен другой момент. По ст.204 УПК РФ в заключении эксперта указываются сведения об образовании.
У него указано "квалификация-эксперт". В Википедии нет такой квалификации для среднего и высшего образования в РФ.
Интересно, в каком образовательном учреждении присваивают такую квалификацию?
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, мыщъх, Вы писали:
>>>а так же эксперт ссылается на авторитетные источники. eqw>> Итак, что у нас является авторитетным источником в области информационной безопасности? eqw>> Является ли им Лаборатория Касперского? Если нет, то почему? Если да, то почему? М>http://www.garant.ru/news/425479/
М>"...экспертиза проводится на договорной основе одним или несколькими экспертами и (или) экспертными организациями, аккредитованными Роскомнадзором"
Итак очевидно, эксперт из ЛК (а не ЛК, он это подчериквает), аккрудитирован Роскомнадзором. Иначе непонятно, за что адвоказам подзащитных платят деньги.
М>где отсылки к криминалистической литературе? вы упомянули отпечатки пальцев. да, тут задействована "шайтан-машина", но... сертифицированная. и за ее обслуживанием следят специальные люди
М>ида уже сертифицирована для криминалистики?
Прекрасно. Приведите, по которому все инструменты, которыми пользуются эксперты в своей работе должны быть сертифицированы. Чтобы каждая пробирка было освидетельствована и под страхом уголовной ответсвенности за ней следили специальные люди?
М>блин, я хоть не эксперт, но я хотя бы свечку держал и как бы в курсе жесткости требований.
Походу вы как раз не в курсе. Настолько жестких требований в РФ к ИТ-экспертизам нет.
>одно из требований -- машина на которой проводилась экспертиза должна быть стерильна. должен быть протокол установки по и конфигурирования. она отрубается от иннета и по окончании экспертизы обесточивается и кладется на холд, чтобы потом можно было выяснить -- может она сама по себе зоопарк троянов и бэкдоров.
Покажите мне официальный российский документ, описывающий эти требования. Я сильно сомневаюсь, что он существует где-то, кроме вашей головы.
Здравствуйте, cserg, Вы писали:
C>Спасибо, что дали мне ссылки на Болонский процесс. Я забыл, что сейчас есть бакалавры, специалисты, магистры. C>Теперь непонятен другой момент. По ст.204 УПК РФ в заключении эксперта указываются сведения об образовании.
О, как же я люблю вопросы от свежезарегистрированых анонимов.
C>У него указано "квалификация-эксперт". В Википедии нет такой квалификации для среднего и высшего образования в РФ.
Сведения об образовании в заключении не указаны, это факт. По образованию он инженер, закончивший МИФИ. Это вполне могло бы служить основанием для того, чтобы признать документ недействительным, но адвокат почему-то этого не сделал.
Строка квалификация "эксперт-вирусный аналитик, стаж работы 3 года". Эту квалификацию он вполне могу приобрести, работая в ЛК, образование тут вообще не при чем.
У нас в стране, насколько я знаю, в 2000 годах вообще не готовили вирусных аналитиков.
C>Интересно, в каком образовательном учреждении присваивают такую квалификацию?
Ни в каком. Не пытайтесь повторить трюк, который уже пытались повторить на суде. Там уже про пленум Верховного суда и то, кого и на каких основаниях признают экспертом, ответили.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, мыщъх, Вы писали:
М>> ида уже сертифицирована для криминалистики? eqw> Прекрасно. Приведите, по которому все инструменты, которыми пользуются эксперты eqw> в своей работе должны быть сертифицированы. Чтобы каждая пробирка было
уже давал ссылку на книгу про использование шайтан-машин в криминалистике.
М>>блин, я хоть не эксперт, но я хотя бы свечку держал и как бы в курсе жесткости требований. eqw>Походу вы как раз не в курсе. Настолько жестких требований в РФ к ИТ-экспертизам нет.
походу есть. я, в частности, был ассистентом эксперта, который анализировал АРМ в котором было был де-юре баг, а де-факто закладка, которую разработчик продал за бабло криминальным людям и которые ее заюзали по крайней мере однажды. доказать, что ошибка типа переполнение буфера оставлена умышленно не удалось, как и не удалось установить авторство создателя ПО, юзающего закладку, причем само по себе ПО не удалось даже классифицировать как вредоносное, потому что судья попался такой.
eqw> Покажите мне официальный российский документ, описывающий эти требования. eqw> Я сильно сомневаюсь, что он существует где-то, кроме вашей головы.
читайте УПК РФ. там все есть. или это для вас не документ? вообще, форма вашего вопроса как бы намекает, что вы не в курсе какими документами руководствуются суды. конечно, в УПК нет процедуры описания маинтейса машины для анализа ДНК, и УПК ограничивается лишь предупреждением об ответственности за халатность, которая в данном случае носит преступный характер.
теперь вопрос лично к вам. допустим, вы эксперт на суде.
адвокат — эксперту: а у вас компьютер случайно не представляет собой зоопарк бэкдоров?
эксперт — адвокату: нет, конечно, я же эксперт.
адвокат — эксперту: а обосновать?
эксперт — адвокату: у меня антивирус стоит. а, нет, стоп. я гоню. он отключен частично, чтобы можно было с малварью работать. но мамой клянусь, теорема верна!!!
адвокат — эксперту: какие меры вы предприняли, чтобы убедиться, что ваша машина не скомпроментирована? вах-вах. никаких! оля-ля-ля.
вот на этот случай эксперт в присутствии следователя или специалиста (см. в УПК кто у нас специалист) делает то, что должен. и все это документирует.
опять-таки пример из личной жизни, когда я выступал ассистентом эксперта. эксперту передали на анализ данные. адвокат спросил -- уверен ли эксперт, что это именно те данные, о которых мы тут в зале суда говорим? эксперт сказал: да, конечно, я MD5 считал. адвокат попросил отвод, т.к. MD5 это не цифровая подпись. судья, который не знал чем MD5 от CRC32 отличается, согласился, что всякие там аббревиатуры это не аргумент.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, dmart, Вы писали:
D>Привет всем. D>Наверное техническим специалистом будет интересно почитать про "настоящих" экспертов в реверс инжениринге, которые работают в Лаборатории Касперского: http://dmitryart1985.livejournal.com/8069.html D>Настолько умные товарищи, что в уме дизасемблируют бинарник восстанавливая исходный код программы вплоть до названия функций и переменных, при этом читая "Отче наш" на старо-гречеком языке. Так сказать одним глазком туда, одним сюда... D>Интересно ваше мнение.
D>Кстати, статья была жёстко отцензурена на Хабре — http://dmitryart1985.livejournal.com/8422.html
Поздно цензурить ребята, пост восстановили на хабре: http://habrahabr.ru/post/168501/
Вы реально некрасиво делаете. Почти все объяснения ТС потёрли. С каждым моим посещением постов всё меньше и меньше становится.
В первый день уже почти 100 было — потёрли. Это же флейм. Вы что творите?
Здравствуйте, AlexRK, Вы писали:
ARK>Здравствуйте, svteem, Вы писали:
S>>Почти все объяснения ТС потёрли.
ARK>Какие "объяснения", юление одно. Комментарии на хабре вполне адекватные. Например, вот: http://habrahabr.ru/post/168501/#comment_5832301
Это твоё "оценочное" мнение. Так же как и мнение автора. Только вот твоё "оценочное" мнение оставили.
Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
Здравствуйте, AlexRK, Вы писали:
ARK>Здравствуйте, svteem, Вы писали:
S>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
ARK>Держите нас в курсе.
ARK>Я так и не понял, чего добивается автор? Хотел опустить эксперта Касперского, а в результате сел в лужу сам.
Это ты откуда такие выводы сделал? Это над Каспером ржёт Рунет.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, svteem, Вы писали:
S>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html Ops>Да прямо неуловимый Джо какой-то. Сомневаюсь, что было 100 постов, во всяком случае, я не видел. Если и было — какая-нибудь ветка, начавшаяся с нарушения правил, за то и уехавшая в треш.
В первый день же их было 86. Сегодня ветку тоже зачистили.
Здравствуйте, svteem, Вы писали:
S>Здравствуйте, AlexRK, Вы писали:
ARK>>Здравствуйте, svteem, Вы писали:
S>>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
ARK>>Держите нас в курсе.
ARK>>Я так и не понял, чего добивается автор? Хотел опустить эксперта Касперского, а в результате сел в лужу сам.
S>Это ты откуда такие выводы сделал? Это над Каспером ржёт Рунет.
Какой рунет? Эпическая тема из двух комментариев на портале ксакеп.ру? Не нужно выдавать желаемое за действительное.
А тому кто ржет, ознакомившись только с передергиваниями автора топика, можно посоветовать только одно — пожуй овса и в стойло. Или прочитай результат экспертизы.
До чего касперский докатился... до центра Озон... а эксперт до Лейлы Соколовой... В общем когда баба у руля — все понятно...
А так в общем все равно осудят...я в наших судах не сомневаюсь
Здравствуйте, AlexRK, Вы писали:
ARK>Здравствуйте, svteem, Вы писали:
S>>Здравствуйте, AlexRK, Вы писали:
ARK>>>Здравствуйте, svteem, Вы писали:
S>>>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
ARK>>>Держите нас в курсе.
ARK>>>Я так и не понял, чего добивается автор? Хотел опустить эксперта Касперского, а в результате сел в лужу сам.
S>>Это ты откуда такие выводы сделал? Это над Каспером ржёт Рунет.
ARK>Какой рунет? Эпическая тема из двух комментариев на портале ксакеп.ру? Не нужно выдавать желаемое за действительное.
ARK>А тому кто ржет, ознакомившись только с передергиваниями автора топика, можно посоветовать только одно — пожуй овса и в стойло. Или прочитай результат экспертизы.
Уважаемый, вы очень далеки от реальности. Хотя бы Хабр с 11 тыс просмотров .
Здравствуйте, ishmakov, Вы писали:
L>> В экспертизе написано что исходники лежали в C:\Projects. I>Ой — у меня так тоже папка называется на работе и дома... После этого дела эту папку не сочтут экстремистской?
Пойдёшь как соучастник!
Здравствуйте, Abyx, Вы писали:
A>я имел ввиду строки от разного рода assert'ов и прочих макросов использующих __FUNCTION__ и # A>в некоторых программах такого добра навалом
Подозреваю что в коде ботнета такого просто не встречается. Разве что только в используемых им либах.
Здравствуйте, eqw, Вы писали:
eqw>Здравствуйте, dmart, Вы писали:
D>>А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами. D>>Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз. eqw>Оставив в стороне ваше мнение об экспертизе, расскажите, пожалуйста, подробнее, как вы определили, что "злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз" и почему в таком случае этот факт не был учтен следствием? Это же чистой воды подлог, если правда. Из текста в ЖЖ это совсем непонятно.
>>Я не знаю, что там за код оказался. eqw>Ну это любой на вашем месте бы сказал D>>БОлее того, исследование ЕСЕТа написано предвзято. eqw>Ну конечно!
Объясните, пожалуйста, почему решили зайти с другого конца при наличии исходников. Пробовали собрать проект? Я легко могу представить, что сборка сложного ПО без документации и нежелания авторов сотрудничать может быть непростой процедурой, и что запросто можно не уложиться в сроки. Но попытка-то была? Или там не весь проект, а только его часть? В конце концов можно было хотя бы глянуть, какие бинарники получаются на выходе (не производя сборку)?
Социализм — это власть трудящихся и централизованная плановая экономика.
Здравствуйте, svteem, Вы писали:
S>В первый день же их было 86. Сегодня ветку тоже зачистили.
Ога, уже не 100. И бан, оказывается, за нарушение (обычно на 1-й раз не больше суток). Ну и, такие дела, тут если сносят пост, то уезжает в треш вся ветка, о чем все местные знают.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Кодёнок, Вы писали:
Кё>Почитал. Мое мнение: эксперту следовало сделать раздел исследование в три раза подробней и сохранить журнал исследования как раз на такой случай, но никаких явных нестыковок, указывающих что он плохой или что-то выдумал, я не вижу. Самый скользкий момент — вместо ответа, что делает конкретно бинарник, ответил что делает ботнет.
Эксперту следовало поговорить с подчиненным, который эту экспертизу делал, и узнать что к чему. Уж слишком многого он "не помнит".
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, LaPerouse, Вы писали:
LP>Здравствуйте, eqw, Вы писали:
eqw>>Здравствуйте, dmart, Вы писали:
D>>>А нас не поймали. Читайте окончание моего поста на ЖЖ. Эти сорсы, которых у меня не было, требовали от меня 5 месяцев угрозами. D>>>Более того, тот злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз. eqw>>Оставив в стороне ваше мнение об экспертизе, расскажите, пожалуйста, подробнее, как вы определили, что "злощастный ноутбук при передаче в ЛК менял и упаковку и включался 6 раз" и почему в таком случае этот факт не был учтен следствием? Это же чистой воды подлог, если правда. Из текста в ЖЖ это совсем непонятно.
>>>Я не знаю, что там за код оказался. eqw>>Ну это любой на вашем месте бы сказал D>>>БОлее того, исследование ЕСЕТа написано предвзято. eqw>>Ну конечно!
LP>Объясните, пожалуйста, почему решили зайти с другого конца при наличии исходников. Пробовали собрать проект? Я легко могу представить, что сборка сложного ПО без документации и нежелания авторов сотрудничать может быть непростой процедурой, и что запросто можно не уложиться в сроки. Но попытка-то была? Или там не весь проект, а только его часть? В конце концов можно было хотя бы глянуть, какие бинарники получаются на выходе (не производя сборку)?
Времени было предостаточно. Я Вас понял. Вопрос хороший.
Возможно этот код просто не собирается или код совершенно не того, что нужно следствию.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, svteem, Вы писали:
S>>В первый день же их было 86. Сегодня ветку тоже зачистили.
Ops>Ога, уже не 100. И бан, оказывается, за нарушение (обычно на 1-й раз не больше суток). Ну и, такие дела, тут если сносят пост, то уезжает в треш вся ветка, о чем все местные знают.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, Кодёнок, Вы писали:
Кё>>Почитал. Мое мнение: эксперту следовало сделать раздел исследование в три раза подробней и сохранить журнал исследования как раз на такой случай, но никаких явных нестыковок, указывающих что он плохой или что-то выдумал, я не вижу. Самый скользкий момент — вместо ответа, что делает конкретно бинарник, ответил что делает ботнет.
Ops>Эксперту следовало поговорить с подчиненным, который эту экспертизу делал, и узнать что к чему. Уж слишком многого он "не помнит".
У него нет подчинённых кто делал эту экспертизу. Делает тот, кто указан в назначении. Там только один Ануфриев.
Так что не катит отмазка.
Здравствуйте, dmart, Вы писали:
D>У него нет подчинённых кто делал эту экспертизу. Делает тот, кто указан в назначении. Там только один Ануфриев. D>Так что не катит отмазка.
Это по его словам. Если бы он сам делал экспертизу, он бы знал что к чему, а он даже отчет поленился выучить.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, dmart, Вы писали:
D>>Класс. Только полветки так исчезло.
Ops>Это как? Ветка — это все ответы на конкретный пост, и далее. Тут древовидный форум.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, dmart, Вы писали:
D>>У него нет подчинённых кто делал эту экспертизу. Делает тот, кто указан в назначении. Там только один Ануфриев. D>>Так что не катит отмазка.
Ops>Это по его словам. Если бы он сам делал экспертизу, он бы знал что к чему, а он даже отчет поленился выучить.
Т.е. ты хочешь сказать что он её сфабриковал? Вот тут я с тобой соглашусь.
Здравствуйте, dmart, Вы писали:
D>Т.е. ты хочешь сказать что он её сфабриковал? Вот тут я с тобой соглашусь.
Не обязательно, но возможно. Еще мог скинуть на кого-то из подчиненных (он же вроде начальник какого-то отдела?), а выдал за свою, даже не разобравшись в ней. В любом случае, часть обвинения, основанная на этой "экспертизе" — несостоятельна.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, AlexRK, Вы писали:
D>>Возможно этот код просто не собирается или код совершенно не того, что нужно следствию.
ARK>А возможно этот код собирается и в результате сборки получается троян.
Здравствуйте, svteem, Вы писали:
S>Это твоё "оценочное" мнение. Так же как и мнение автора. Только вот твоё "оценочное" мнение оставили. S>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
S>Потрёте и меня?
Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово.
Здравствуйте, _ABC_, Вы писали:
_AB>Здравствуйте, svteem, Вы писали:
S>>Это твоё "оценочное" мнение. Так же как и мнение автора. Только вот твоё "оценочное" мнение оставили. S>>Кстати, ТС написал по поводу цензуры: http://dmitryart1985.livejournal.com/8727.html
S>>Потрёте и меня?
_AB>Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово.
Чтобы не быть голословным. Приведи пример мата через слово. Цитату пожалуйста.
Здравствуйте, dmart, Вы писали:
_AB>>Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово. D>Чтобы не быть голословным. Приведи пример мата через слово. Цитату пожалуйста.
Прошу прощения. Тот пост, на который я жаловался, был написан от имени linuz'a.
Здравствуйте, _ABC_, Вы писали:
_AB>Здравствуйте, dmart, Вы писали:
_AB>>>Я лично жаловался на пост этого "автора" в этой ветке. Причина — мат через слово. D>>Чтобы не быть голословным. Приведи пример мата через слово. Цитату пожалуйста.
_AB>Прошу прощения. Тот пост, на который я жаловался, был написан от имени linuz'a.
Здравствуйте, dmart, Вы писали:
D>Во как. Представляете, а нам полтреда удалили!
У Вас тоже нарушения были. А в целом — не будете нарушать правила форума, удалять не будут.
По-моему, тут по требованию фирмы только один раз топик был удален. Причем удален таким образом, что для той фирмы лучше было бы не требовать такого.
Здравствуйте, ambel-vlad, Вы писали:
AV>Тогда в чем проблема собрать их и получить троян?
Ну а кто сказал, что есть такая проблема? Возможно, что собирали и получили троян. Это автор темы пытается доказать, что это исходники линупса.
Странная беседа какая-то. То ли вы чего-то не понимаете, то ли я.
Здравствуйте, AlexRK, Вы писали:
ARK>Здравствуйте, ambel-vlad, Вы писали:
AV>>Тогда в чем проблема собрать их и получить троян?
ARK>Ну а кто сказал, что есть такая проблема? Возможно, что собирали и получили троян. Это автор темы пытается доказать, что это исходники линупса. ARK>Странная беседа какая-то. То ли вы чего-то не понимаете, то ли я.
Вопрос (пытались ли собрать проект) был задан эксперту несколько раз, ответа не было. В экспертизе этот вопрос освещен?
Социализм — это власть трудящихся и централизованная плановая экономика.
Здравствуйте, AlexRK, Вы писали:
AV>>Тогда в чем проблема собрать их и получить троян?
ARK>Ну а кто сказал, что есть такая проблема? Возможно, что собирали и получили троян.
А возможно получили изображение сисек Памелы Андерсон. Не слишком ли много "возможно"?
Здравствуйте, LaPerouse, Вы писали:
LP>Вопрос (пытались ли собрать проект) был задан эксперту несколько раз, ответа не было. В экспертизе этот вопрос освещен?
Этот вопрос в экспертизе не освещен. Автор темы может попробовать обоснованно доказать, что проект собрать не пытались (то, что в начальном посте выдается за обоснование — это ха-ха два раза). И даже если это удастся доказать, это не означает, что исходники не являются исходниками трояна.
Здравствуйте, ambel-vlad, Вы писали:
AV>А возможно получили изображение сисек Памелы Андерсон. Не слишком ли много "возможно"?
Это в интересах автора темы доказать, что получили изображение сисек. Пусть привлечет эксперта к ответственности за дачу ложных показаний. Только что-то мне подсказывает, что хрен это ему удастся. После прочтения судебных прений я свое мнение об авторе уже составил.
Здравствуйте, AlexRK, Вы писали:
AV>>А возможно получили изображение сисек Памелы Андерсон. Не слишком ли много "возможно"?
ARK>Это в интересах автора темы доказать, что получили изображение сисек.
Вообще-то презумцию невиности еще не отменяли. Посему стороне обвинения надо доказать, что там троян. И если эксперт собрал троян из сорцов, то это должно было быть освещено.
Здравствуйте, ambel-vlad, Вы писали:
AV>Здравствуйте, dmart, Вы писали:
D>>Спасибо все за ответы, я опубликовал главу 2 нашей истории: http://dmitryart1985.livejournal.com/9061.html D>>Забавно, на хабре: http://habrahabr.ru/post/169179/ в этот раз статья провисела 10 мин, постараемся её восстановить.
AV>попробовал посмотреть на хабре. В ответ получил "Автор переместил топик в черновики."
Так я и говорю — 10 минут на этот раз провисела. Удалил тот же модератор. Причина (приготовтесь): копипаст с ЖЖ!
Здравствуйте, dmart, Вы писали:
D>>>Спасибо все за ответы, я опубликовал главу 2 нашей истории: http://dmitryart1985.livejournal.com/9061.html D>>>Забавно, на хабре: http://habrahabr.ru/post/169179/ в этот раз статья провисела 10 мин, постараемся её восстановить.
AV>>попробовал посмотреть на хабре. В ответ получил "Автор переместил топик в черновики."
D>Так я и говорю — 10 минут на этот раз провисела. Удалил тот же модератор. Причина (приготовтесь): копипаст с ЖЖ!
Я про другое немножко. Причина недоступности статьи очень повеселила. Это не мы тюкнули, это автор начудил.
интересно, а на каком основании был приглашен в качестве эксперта сотрудник частной фирмы, и вообще существуют ли какие нибудь критерии отбора в эксперты в данной области? это к тому на основании какого положения закона пригласили именно из Лаборатории Касперского а не из фсб или еще xz откуда.
Здравствуйте, quporos, Вы писали:
Q>интересно, а на каком основании был приглашен в качестве эксперта сотрудник частной фирмы, и вообще существуют ли какие нибудь критерии отбора в эксперты в данной области? это к тому на основании какого положения закона пригласили именно из Лаборатории Касперского а не из фсб или еще xz откуда.
Насчёт эксперта из ФСБ у следователя была гениальная отмазка, раз Максим Пермяков (один из обвиняемых) — сам бывший сотрудник из ЦИБ ФСБ. То отдавать на экспертизу в институт ФСБ — нельзя.
При этом:
1. Евгений Капсреский тоже бывший сотрудник.
2. ЛК была свидетелем атаки, а так же ещё и защищала Ассиста на комерческой основе. ст 71 упк рф.
3. ЛК — это ЗАО, а из Пленума Верховного суда (указан в моей статье) не может являтся экспертным учереждением.
Но всё это как то не помешало следователю Дадинскому С.С. после 5 месяцев поиска отправить экспертизу именно в ЛК.
Здравствуйте, dmart:
походу дела, решили ребята показуху устроить, мол не зря хлеб едим, постоянно в борьбе с хакерами, и вот какого зловреда вычислили.))) но если без шуток то лично меня давно интересует вопрос — а кто нибудь контролирует такие организации как Л.К. , так как свои исходника они не открывают и какой там скрыт функционал, помимо заявленного x.z.
Здравствуйте, quporos, Вы писали:
Q>Здравствуйте, dmart: Q>походу дела, решили ребята показуху устроить, мол не зря хлеб едим, постоянно в борьбе с хакерами, и вот какого зловреда вычислили.))) но если без шуток то лично меня давно интересует вопрос — а кто нибудь контролирует такие организации как Л.К. , так как свои исходника они не открывают и какой там скрыт функционал, помимо заявленного x.z.
ЛК давно уже под ЦИБ ФСБ Лежит. Так же как и вебмани. Их доят по полной. И музыку заказывают...
Здравствуйте, wildwind, Вы писали:
D>>Так я и говорю — 10 минут на этот раз провисела. Удалил тот же модератор. Причина (приготовтесь): копипаст с ЖЖ!
W>А это правда? (Хабр понимает "копипаст" как "в ЖЖ дата раньше, хоть на секунду, думаю ты в курсе)
Здравствуйте, dmart, Вы писали:
D>Думаю ты в курсе что на Хабре удалили обе публикации.
В курсе, но я не об этом спрашивал.
D>А так же в курсе вот этого: http://www.inright.ru/news/legal/20130222/id_9851/
Был не в курсе, но причем здесь это?
Дима, ты очень правильно сделал, что опубликовал эти материалы. Такие "экспертизы" нужно разоблачать, а "экспертов" ставить к позорному столбу, если мы хотим законности в своей стране. Но ты плохо подготовился. Лажанул и с датой и с подачей в статье, и с комментариями, спровоцировав ненависть и бан вместо конструктивного обсуждения. В следующий раз будь умнее.
P.S. Если найдешь другую площадку для освещения процесса, кроме ЖЖ, кинь ссылку.