https://www.opennet.dev/openforum/vsluhforumID3/111801.html Разработчики из компании Cisco представили (http://blog.talosintelligence.com/2017/07/pyrebox.html) проект PyREBox (https://talosintelligence.com/pyrebox), в рамках которого подготовлено окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО. PyREBox представляет собой надстройку над QEMU, снабжённую дополнительными средствами для инспектирования содержимого памяти, отладки и динамического анализа работы системы и приложений. Код распространяется (https://github.com/Cisco-Talos/pyrebox) под лицензией GPLv2.<br><br><br><br><br><br>В отличие от традиционных отладчиков, работающих в одном системном окружении с проверяемым приложением, PyREBox полностью отделён от изучаемого окружения и позволяет наблюдать с ним со стороны, при необходимости вмешиваясь в его работу. PyREBox создаёт эмулируемое окружение для всей системы, предлагая простой интерфейс для наблюдения за этим окружением, не требуя установки особых драйверов или агентов, а работая непосредственно на уровне эмулятора и предоставляемого им https://www.opennet.dev/openforum/vsluhforumID3/111801.html#20 Tue, 25 Jul 2017 11:24:27 GMT &gt; P.S. Сейчас я от малвари и борьбы с ней далековато, но не <br>&gt; вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.<br><br>Уже лет пять как серьезно не ковырял, но по нескольку обфускаторов"матрешкой" (с интегрированными "анти" плюс еще собственные велосипеды малвари) - не такое уж и редкое явление. Особо одаренные умудрялись поверх неплохих "обфускаторов" еще и "Drop"-еры (т.е. примитив, распакующий тупо в файл) нацеплять. Поэтому дампить и выкусывать защиту придется несколько раз.<br>Но я вообще-то к тому, что одним таким "non-intrusive"-дебагером все равно не обойтись (тем более, не катят мечты любителей варезов"я запускал в виртуалке и там не было ничего подозрительного!"), хотя сама по себе штука интересная (причем, не только для разбора малвари).<br><br>&gt; Но безумие комментов это никак на объясняет.<br><br>*cмотрит непонимающе* неспокойная магнитосфера http://www.tesis.lebedev.ru/magnetic_storms.html и недавнее новолуние же!<br> https://www.opennet.dev/openforum/vsluhforumID3/111801.html#19 Tue, 25 Jul 2017 09:06:16 GMT Магистральное.<br> https://www.opennet.dev/openforum/vsluhforumID3/111801.html#17 Tue, 25 Jul 2017 08:26:48 GMT Я в курсе, сам когда-то песочницу дрвеба определял, ещё в ДОС... Но безумие комментов это никак на объясняет. <br><br>P.S. Сейчас я от малвари и борьбы с ней далековато, но не вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.<br> https://www.opennet.dev/openforum/vsluhforumID3/111801.html#16 Tue, 25 Jul 2017 08:17:17 GMT Или Mikrotik :)<br> https://www.opennet.dev/openforum/vsluhforumID3/111801.html#15 Tue, 25 Jul 2017 06:09:35 GMT Сравним эквивалентное магистральное оборудование с Huawei?<br> https://www.opennet.dev/openforum/vsluhforumID3/111801.html#14 Tue, 25 Jul 2017 04:41:18 GMT Да ладно! Оборудование - недорогое, посмотри для сравнения на цены конкурентов, откаты - минимальное, посмотри для сравнения на мюнхенский попил...<br> https://www.opennet.dev/openforum/vsluhforumID3/111801.html#13 Mon, 24 Jul 2017 22:00:42 GMT Потому что водка подешевела. <br> https://www.opennet.dev/openforum/vsluhforumID3/111801.html#12 Mon, 24 Jul 2017 21:52:33 GMT &gt; А что за безумие в комментах? Отличная же штука на вид...<br><br>Cмотря для чего. У малварщиков проверка на виртуалку или песочницу уже лет десять как "стандарт". <br>Типа:<br>http://webcache.googleusercontent.com/search?q=cache:7qv1dakmyWkJ:https://evidencebasedsecurity.org/forums/data/hackforums/raw/0-initiator146773.txt.tok+cryptor+antiqemu&hl=de&ct=clnk<br>&gt; STL Packer Premium . <br>&gt; Most Advanced Crypter/Packer <br>&gt; Anti Parallels <br>&gt; Anti QEMU <br>&gt; Anti Sandboxie -LRB- not rly a vm , but its used locally , so anti can be enabled/disabled -RRB- <br>&gt; Anti Virtual Box <br>&gt; Anti Virtual PC -LRB- VPC -RRB- <br>&gt; Anti VMware <br>&gt; + Generic Anti VM <br><br>(это первый подходящий, "общедоступный" результат, но как я уже упоминал, для "крипторов" (обфускаторов) малвари оно уже давным давно "в моде") благо, гуглится на раз, https://github.com/AlicanAkyol/sems <br>&gt; Virtualbox, VirtualMachine, Cuckoo, Anubis, ThreatExpert, Sandboxie, QEMU, Analysis Tools Detection Tools<br><br>да и сам код проверок даже когда-то на шестом вижулабейсике был. https://www.opennet.dev/openforum/vsluhforumID3/111801.html#11 Mon, 24 Jul 2017 20:17:05 GMT &gt; А что за безумие в комментах? Отличная же штука на вид...<br><br>Реактивное комментирование. Первых двух слов ^W токенов темы -- достаточно.<br>