Reversing

HIEW v8.00

przez

Ukazała się nowa wersja hexedytora HIEW v8.00, lista zmian:

  • ARMv6 disassembler (switch: Shift-F1)
  • „ArmCodeDetection = On/Off” in ini-file
  • Xor string (Edit/F8) is back!
  • Names shift offset (F12/F6)
  • Names export (F12/Shift-F12)
  • PE section rva/offset correction (F8-F6-F5/F6)
  • FIX: Some disassemblers fixes
  • FIX: HEM: no set mode for HEM_RETURN_FILERELOAD

Strona domowa — www.hiew.ru

IDA Pro v5.4

przez

IDA ProUkazała się wersja 5.4 disassemblera IDA Pro, chociaż disassemblerem tego już raczej nie można nazwać, bo to prawdziwy kombajn do analizy wszystkiego co binarne.

Główne zmiany to wprowadzenie modułów obsługi 3 dodatkowych debuggerów, zwiększających możliwość dynamicznej analizy kodu.

Pierwszy z nich opiera się na emualtorze x86 Bochs, który pozwala m.in. na wykonanie dowolnych fragmentów kodu 32 bitowego w emulowanym środowisku (chyba ukłon w stronę branży antywirusowej).

Kolejny debugger to GDBServer, ale chyba największą niespodzianką jest wprowadzenie obsługi debuggera WinDbg, dzięki czemu możliwe jest analizowanie sterowników systemowych.

Oficjalna lista zmian, a jest ich naprawdę sporo na:
https://www.hex-rays.com/idapro/54/index.htm

Reverse engineering i co dalej

przez

Chciałbym dzisiaj się was zapytać drodzy i nieliczni czytelnicy, co można robić w życiu ze znajomością tak nietypowej dziedziny jaką jest reversing?

Jak zapewne wielu z was zaczynałem od nie całkiem legalnej działalności, która z czasem pozwoliła mi zabrać się za pierwszą pracę zawodową przy lokalizacji gier. Zdobywana przez lata wiedza doprowadziła do tego, że zacząłem robić systemy zabezpieczeń aplikacji, lata mijały, tysiące deadlistingów, setki bugów, sobotnie noce pod szyldem debuggera. Dziwię się, że jeszcze nie wytatuowałem sobie „asm4life” na plecach.

Kolejnym etapem jak nietrudno się domyśleć była praca w firmie antywirusowej (której nawet sam nie szukałem), w międzyczasie praca w kolejnej firmie antywirusowej… Z moich obserwacji wynika, że osoby związane od dawna z reversingiem kończą w kolejnych firmach antywirusowych lub zupełnie odchodzą od fachu.

Osobiście staram się jak najbardziej uniezależnić od pracy w zewnętrznych firmach i pracować na własny rachunek, jednak jest to cholernie trudne, gdy napływają nowe oferty pracy w av.

Teraz nasuwa mi się pytanie — czy to jedyne co można robić z taką wiedzą?

  • praca w firmie antywirusowej
  • praca przy lokalizacji gier
  • praca w firmach produkujących zabezpieczenia DRM

Czy to jedyne opcje? Może mieliście inne doświadczenia zawodowe? Czy jest życie poza tymi dziedzinami?

Anubis aktualizacja

przez

Emulator Anubis służący do analizy zachowania malware został zaktualizowany. Nowości:

  • Dodatkowe formaty raportów: W dodatku do raportów w HTML, jest możliwe przejrzenie raportów w formatach PDF, plain text i XML
  • Możliwość wgrania dodatkowych plików (DLL i innych) potrzebnych do uruchomienia aplikacji
  • Analiza poprawności plików wykonywalnych i w przypadku wykrycia błędnej struktury wyświetlany jest wynik komendy unixowej 'file’
  • Poprawki poprawiające stabilność pracy w engine Anubisa
  • Analiza i raportowanie adresów URL otwieranych przez Internet Explorera oraz zachowanie przeglądarki
  • Konta użytkowników, pozwalające na łatwy dostęp do poprzednio wysłanych próbek i wyników
  • Możliwość wysłania całej paczki malware w postaci archiwum ZIP z dodatkowymi plikami

Strona domowa — http://anubis.iseclab.org/