能力值:
( LV2,RANK:10 )
|
-
-
26 楼
好贴,收藏了
|
能力值:
( LV6,RANK:90 )
|
-
-
27 楼
前来膜拜乌龟大师
|
能力值:
( LV11,RANK:188 )
|
-
-
28 楼
乌龟大师太实在了,我超喜欢。的确逆向的人员不应该从具体案例的角度来出发考虑问题,这一点上小辈也是深有同感的。
只不过,OD的静态分析也不是太差啊,有的时候我也想看下某个病毒的行为。虽然ida很强大,但它的载入速度总是觉得好像有些慢,挂上OD再搭配标签(shift+:)功能把GetProdAddr等几个常用函数改名出来,我一般就这样看下大概的API列表和字符串了
|
能力值:
( LV8,RANK:140 )
|
-
-
29 楼
前来膜拜乌龟大师,以后乌龟大师发的贴都可以仔细体会下 
|
能力值:
( LV8,RANK:140 )
|
-
-
30 楼
神马小工具?
|
能力值:
![]()
(RANK:280 )
|
-
-
31 楼
我不是要说OD的坏话,在这说OD的坏话不是给自己找难看吗,而且有时候我也会用OD,:)
静态分析IDA之所以能成为行业必备不是没原因的,否则哪家公司会放着免费的OD不用却花几百美元去买IDA?
IDA或许不够完美,但是一个好的IDB,对自己对他人(同事)都有帮助
|
能力值:
![]()
(RANK:280 )
|
-
-
32 楼
字符串提取啊
|
能力值:
( LV12,RANK:760 )
|
-
-
33 楼
搞这么复杂?~~~话说,现在杀毒公司都是自动化工具处理report了,很少有人肉的,但凡人肉的,都挺纠结的~
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
支持鬼大师!好文!
|
能力值:
( LV12,RANK:530 )
|
-
-
35 楼
 玩病毒的必备利器~~谢谢~~
|
能力值:
![]()
(RANK:280 )
|
-
-
36 楼
安防!=提特侦码
机器可以帮助人,但至少目前还没有先进到可以完全替代人
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
上来膜拜一下乌龟大师
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
俺没有工作经验,想请教下 杀毒公司里面的样本都是由病毒分析师按上面步骤完成的吗。病毒有很多,有没有自动化的方法呢
|
能力值:
( LV12,RANK:760 )
|
-
-
39 楼
特征码大部分也可以自动化吧,话说只有自动检测出误报率的才会走人工的啊~
话说,人工细致分析基本很少见啊,基本上都一堆一堆走过自动被滤掉了,然后只有小部分人工还是粗略过一下~~
话说,你们什么公司全人工??
|
能力值:
( LV3,RANK:30 )
|
-
-
40 楼
病毒软件,代码量一般是比较小的,大多数情况下用IDA分析足够,但一些大的软件,尤其是用了类库软件,静态分析很容易就迷失,不是说通过导入函数就能找到关键位置的。很多参数需要在运行时确定,这是仅用IDA 分析是不够,需要用OD分析出来关键位置,然后再用IDA分析,windbg很强悍的,只是用的熟不熟而已。实际应用中,两者必不可少!
|
能力值:
( LV12,RANK:760 )
|
-
-
41 楼
是吗?话说,现在病毒加的私有VM的壳,不是盖的强X啊~
某毒捆在某外挂上,壳是SE啊,SE啊~静态累死鸟人有木有啊~
|
能力值:
![]()
(RANK:280 )
|
-
-
42 楼
话说,我什么时候说过全人工了?
话说,我又什么时候讨论过怎么提特征码了?
话说,你们什么公司非得误报后才会走人工?
话说,自动化真那么无所不能,还招个p的病毒分析员啊?
话说,无论哪个地球人有多牛,他/她没接触过的,不代表不存在,难不成今天我遇到上帝了?
各个安全论坛上病毒分析报告没少看到,可是我却没找到帖子讨论帮助新人入行的(也许是我找得太少,我眼花,我人品不够,不过至少发帖之前我没看到)
发这个帖子不过是想帮助有兴趣的新人熟悉熟悉环境和流程,似乎没有强迫过哪位大牛吧?
你这么牛在这浪费什么唾沫星子,多发点真能帮助他人的帖子岂不是更好?或是你对这个话题实在感兴趣,不如请你来指点一下病毒分析员该干什么好?
其实我真的很好奇一个不用人工分析的公司招病毒分析员干啥
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
个人认为IDA比OD强大得多……当然加壳或者加VM的只能用OD了……到了WIN7谁还能用OD,到了驱动谁还能用OD……
|
能力值:
![]()
(RANK:280 )
|
-
-
44 楼
呵呵,我说的是能不调试就不调试,不是不调试
|
能力值:
![]()
(RANK:280 )
|
-
-
45 楼
当然不可能都人工,自动化引擎会过滤掉很多
|
能力值:
![]()
(RANK:280 )
|
-
-
46 楼
这位高人感情是善于对付捆于某外挂的某毒咯?
能否请教一句,请问高人哪个大爆发的某毒是捆绑于某外挂的?
能否再请教一句,请问高人哪个高级客户会要求人工捆绑于某外挂的某毒的?
能否最后再请教一句,有谁说过只许静态不能调试了?
对了,好像刚才有人说过"话说只有自动检测出误报率的才会走人工的啊",哪个公司的自动检测会对SE提特征啊?
|
能力值:
( LV12,RANK:760 )
|
-
-
47 楼
第一,我们不是搞杀毒行业的公司;
第二,有自动提取特征码但是我没有说自动是万能的,只是以前需要大量人力的某些过程是被极度压缩减少了的;
第三,SE壳直接报毒不是我干的;
第四,你看一下360的新闻,某大规模爆发的病毒真的不是捆在某外挂上的?
第五,我没想跟你争论啥东西,只是无聊回帖而已;
最后我什么时候跟你说提特征码了?我是说自动report,而你在下面回复的是 安防!=提特征 所以我回了一下有关特征处理的事情。
|
能力值:
( LV2,RANK:10 )
|
-
-
48 楼
要学这个得看哪些书呢?我不要学的太精,只要知道在哪把这些代软件清除就行了
|
能力值:
![]()
(RANK:280 )
|
-
-
49 楼
第一,既然不是搞杀毒行业的公司,我不知道你怎么得出结论非要误报后才走人工,又怎么得出结论我在什么全人工的公司?
第二,非常同意,自动化是省了不少事,不过这和本帖有关吗?
第三,有谁说过SE或哪个壳必须静态了吗?我权且把“鸟人”二字理解为恭维吧,毕竟皇马的鸟叔是我的偶像。只不过“静态累死鸟人有木有啊”又从何谈起?
第四,能否给个具体的名字,抱歉我对360关注不够
第五,我也不喜欢争论,如果我没记错的话,这可能是第一次我在看雪发略带情绪化的回复,如有得罪请包含
最后,对不起误解了你提到的“自动report”了,report可以理解为加特征并报毒(例如McAfree report xxx as xxx),也可以理解为生成分析报告(generate report),似乎你的意思是后者。行业内公开的不公开的自动报告引擎有很多,不过请问这句“搞这么复杂?~~~话说,现在杀毒公司都是自动化工具处理report了,很少有人肉的,但凡人肉的,都挺纠结的~”该怎么理解?
我的中文不够好并且理解力有限,我只能读出“人工分析很少,因此不需要什么所谓的流程,但凡纠结的都无法流程化”,我不熟悉贵公司的工作流程,但据我所知不止一家相关公司在尝试规范化流程化病毒分析的工作,原因很简单,可以提高效率,可以统一工作方式和输出,以及有利于今后的持续性发展。
最后的最后,话说你很喜欢话说,可惜至少在这个帖子中,似乎你的“话说”比较容易引起歧义。当然也不排除是我对“话说”二字过敏导致,不管怎么说,我至少多认识了一个看雪上的大牛,谢谢。
|
能力值:
![]()
(RANK:280 )
|
-
-
50 楼
清除?你是问怎么添加特征码吗?各个公司引擎不同,这个问题没法讨论的
另外前面朋友已经提到过,大多数情况下,自动引擎能搞定,人工分析的重点一般不会是加特征码
|
|
|
|
