Разработчики из компании Cisco представили (http://blog.talosintelligence.com/2017/07/pyrebox.html) проект PyREBox (https://talosintelligence.com/pyrebox), в рамках которого подготовлено окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО. PyREBox представляет собой надстройку над QEMU, снабжённую дополнительными средствами для инспектирования содержимого памяти, отладки и динамического анализа работы системы и приложений. Код распространяется (https://github.com/Cisco-Talos/pyrebox) под лицензией GPLv2.В отличие от традиционных отладчиков, работающих в одном системном окружении с проверяемым приложением, PyREBox полностью отделён от изучаемого окружения и позволяет наблюдать с ним со стороны, при необходимости вмешиваясь в его работу. PyREBox создаёт эмулируемое окружение для всей системы, предлагая простой интерфейс для наблюдения за этим окружением, не требуя установки особых драйверов или агентов, а работая непосредственно на уровне эмулятора и предоставляемого им API VMI (Virtual Machine Introspection). В настоящее время возможно создание окружений i386 и x86_64, но в планах намечена поддержка ARM, MIPS, PowerPC и других архитектур.
Интерфейс для управления и отладкой построен на базе интерактивной оболочки IPython. Исследователю предоставляется полный набор команд для инспектирования и модификации состояния работающей виртуальной машины. В том числе можно на лету изменять содержимое областей памяти и регистров CPU. Имеются гибкие средства автоматизации, основанные на подключении сценариев на языке Python. При этом компоненты PyREBox выполнены как надстройка над QEMU, но не пересекаются с QEMU, что даёт возможность быстро адаптировать продукт к новым выпускам QEMU, не утруждая себя ведением собственного форка.Поддерживается интеграция с пакетом криминалистического анализа Volatility (http://www.volatilityfoundation.org/) и подключения плагинов от него. Также можно подключать собственные плагины с дополнительными обработчиками или привязывать Python-скрипты (https://github.com/Cisco-Talos/pyrebox/tree/master/scripts) к определённым событиям, например, скрипт может быть вызван перед выполнением определённой процессорной инструкции, при обращении приложения к заданной области памяти, создании/завершении процессов, переключении контекста, промахах TLB, событиях от сетевого интерфейса и клавиатуры. Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.
URL: http://blog.talosintelligence.com/2017/07/pyrebox.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=46906
Зачем им изучать собственное ПО?
Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой код :)
#>> Зачем им изучать собственное ПО?
> Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой
> код :)#>>>окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО.
Как вы двое углубились в тему. #зависть
Вброс засчитан )Взрослым дядям надо кушать - вот и пишут на JS
> Взрослым дядям надо кушатьПоэтому они так много какают?
Потому что водка подешевела.
> Зачем им изучать собственное ПО?Вы знаете хоть один нормально работающий программный продукт от циски? Не железку, а именно программный продукт? Вот и они, вероятно, не знают.
На самом деле поразительно, как в России любят данную компанию.
Это уже лечится. К сожалению чиновников, эта компания (с самым дорогим оборудованием и величной откатов // мелким шрифтом) в санкционных списках по обе стороны океана. Как со стороны гостдепа - запрет на поставки в гос органы, так и с нашей стороны.
Да ладно! Оборудование - недорогое, посмотри для сравнения на цены конкурентов, откаты - минимальное, посмотри для сравнения на мюнхенский попил...
Сравним эквивалентное магистральное оборудование с Huawei?
Или Mikrotik :)
Магистральное.
> Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.Чувак пишет фильтр, а в ответ нот-фаунд, он что-то поправляет, а в ответ через 15 мин когда своп исчерпан, оом-киллеp убивает qemu, и только 5000 копий скрипта рапортующих о событии в памяти.
ЗЫ. киллеp это ппц как не нормативно
А что за безумие в комментах? Отличная же штука на вид...
> А что за безумие в комментах? Отличная же штука на вид...Реактивное комментирование. Первых двух слов ^W токенов темы -- достаточно.
> А что за безумие в комментах? Отличная же штука на вид...Cмотря для чего. У малварщиков проверка на виртуалку или песочницу уже лет десять как "стандарт".
Типа:
http://webcache.googleusercontent.com/search?q=cache:7qv1dak...
> STL Packer Premium .
> Most Advanced Crypter/Packer
> Anti Parallels
> Anti QEMU
> Anti Sandboxie -LRB- not rly a vm , but its used locally , so anti can be enabled/disabled -RRB-
> Anti Virtual Box
> Anti Virtual PC -LRB- VPC -RRB-
> Anti VMware
> + Generic Anti VM(это первый подходящий, "общедоступный" результат, но как я уже упоминал, для "крипторов" (обфускаторов) малвари оно уже давным давно "в моде") благо, гуглится на раз, https://github.com/AlicanAkyol/sems
> Virtualbox, VirtualMachine, Cuckoo, Anubis, ThreatExpert, Sandboxie, QEMU, Analysis Tools Detection Toolsда и сам код проверок даже когда-то на шестом вижулабейсике был.
Так что просто запускать и наблюдать за поведением бинаря даст весьма сомнительный результат.
Я в курсе, сам когда-то песочницу дрвеба определял, ещё в ДОС... Но безумие комментов это никак на объясняет.P.S. Сейчас я от малвари и борьбы с ней далековато, но не вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.
> P.S. Сейчас я от малвари и борьбы с ней далековато, но не
> вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.Уже лет пять как серьезно не ковырял, но по нескольку обфускаторов"матрешкой" (с интегрированными "анти" плюс еще собственные велосипеды малвари) - не такое уж и редкое явление. Особо одаренные умудрялись поверх неплохих "обфускаторов" еще и "Drop"-еры (т.е. примитив, распакующий тупо в файл) нацеплять. Поэтому дампить и выкусывать защиту придется несколько раз.
Но я вообще-то к тому, что одним таким "non-intrusive"-дебагером все равно не обойтись (тем более, не катят мечты любителей варезов"я запускал в виртуалке и там не было ничего подозрительного!"), хотя сама по себе штука интересная (причем, не только для разбора малвари).> Но безумие комментов это никак на объясняет.
*cмотрит непонимающе* неспокойная магнитосфера http://www.tesis.lebedev.ru/magnetic_storms.html и недавнее новолуние же!