Исследование вирусов

Собственно хочу спросить у тех людей, которые занимаются исследованием вирусов...

1. Какой софт следит за изменением Windows`а в целом(фалы, реестр, etc...)?
2. Через какую виртуалку лучше тестировать?
3. Какая сборка для тестирования лучше(офф или не офф)?

Буду благодарен за ответы.
Спасибо.

 

уверен что раделом не ошибся???

с первым оутпост 2009 неплохо справляется..
2. vmw помоему не нуждается в комм.
3. скорее офф...


пс. - ИМХО!!!

 

хоть я вирусы и не исследую... для того чтоб посмотреть за изменениями: process explorer, process monitor, regshot

 

всякоразные мониторы, vmware, ida pro, wireshark и тд и тп......

 

http://technet.microsoft.com/en-us/sysinternals/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
FileMon - мониторинг файловой системи в реал. времени
PortMon - мониторинг портов
Process Explorer - мон. процессов
RegMon - мон. реестра,
и много другого)

з.ы.: http://forum.antichat.ru/showthread.php?p=437004

 

не катит так как некоторые вирусы проверяют состояния фаервола и если найден то отключается.
vmw патченая, так как некоторые вирусы умеют выбиратся.
+ process explorer + regshot + удобный атладчик


Тоже кстати заинтересовала тема. Как то пытался занятьсяно потом забил =)

 

1. отладчики(ollydbg,ida pro), мониторинг файлов/реестра(filemon/regmon), hex-эдиторы, PEiD - посмотри ещё на краклабе.
2. Virtualbox имхо лучший.
3. Сборка чего?

Ты так хорошо разбираешься в винде(winapi,ядро) чтобы этим заниматься?

 

Некоторые могут заразить даже VMware, или вписаться в память, и после формата распаковаться.
http://tinyurl.com/cmtxzx - исследование вируса storm.
https://wasm.ru/forum/viewtopic.php?id=19731&p=1 - полезная тема..

p.s.: стукни ProTeuS'у и спроси) он навернека знает)

перемести тему в Реверсинг

 

VMware - лучшая виртуалка.
OllyDbg - отладчик уровня пользователя.
Syser - отладчик уровня ядра.

больше ничего и не нада

 

а какже ида?

 

все эти процес мониторы виртуалки и т.п. хорошо но в любом мало-мальски уважающм себя вирусе будет детект всех этих тулзов.

ИМХО дебагер. дебагер и еще раз дебагер + знание методов ухода из под отладки и детекта отадки... Иначе сливайте воду господа

Надетяться на "СЕНДБОЕСЫ" тоже глупо, их тоже легко детектить..

 

Думаю ZeuS не вылезет за пределы виртуалки?

 

нет

 

а ida для случаев когда надо какие-то структуры данных определить и т.п., на то он(или она)) ) и интерактивный

 

Если у тебя есть доступ в одэй, то советую поставить на виртуалку патч, который делает ее реальной машиной(какбе) и позволяет запускать старфорс,фиму,сэйфдиск на варе. Это немного защитит он хитрых зверьков с детектом и обходом вари

З.ы.: этот патч ставится только на VMware Workstation 6.0.2 Build 59824

 

А можно ссылочку на этот патчик, насколько знаю он уже лежит в паблике, но пока сам не нашел.

 

откуда знаешь?

 

Вот патчик для версии VMWare версии 5,0,0 build 13124,сама не тестила и не запускала!
Проверяйте сами!Внутри и видеоролики.
http://www.datafilehost.com/download-119cdb8b.html

 

1.Filemon,Regmon...или тотже Outpost.
2.VMware...самая крутая виртуалка .Можно также использовать Rollback Rx на реал.компе(если вирус детектит vm).Защита 100%
3.хз)

 

А можно тестить и на своей системе под ShadowUser, всё равно после перезагрузки всё откатится назад. Вроде как вирусов, обходящих ShadowUser нет. Ну естественно ставить его на чистую систему.