Как пруфануть, что софт с малварем?

[brute]

Такая ситуация, что выпустили кряк одного популярного софта на который не выходили кряки уже как несколько лет, а если и были, то в привате. Мой вопрос заключается в том, какие мне тулы лучше всего использовать для того, чтобы были точные доказательства, что файл содержит что-то? К примеру, тот же wireshark по коннектам сможет найти что-то?
Такой вопрос задаю, ибо я более чем уверен, что он с ратником/бэкдором, ибо автор этого кряка был перебанен на всех пирсах, где он что-либо выкладывал. Вирустотал/антивирусы не воспринимают всерьез, ибо "у многих чистых кряков тоже есть детекты". Как в такой ситуации быть, подскажите, пожалуйста?

 

[bigheadguy]

Отстук смотреть wireshark'ом, но надо понимать что может быть детект запуска в виртуальной машине - поэтому лучше отдельный комп с чистой системой + снифер трафика на шлюзе.
Внутренности и механизм работы софта - смотреть отладчиком.

 

[gliderexpert]

bigheadguy сказал(а):
о каком софте речь идет, если не секрет?

в 3д графике есть рендер движок, является одним из индустриальных стандартов, "Redshift".

 

[brute]

Попробуй найти чистую версию того же софта (той же версии) и сравни BinDiff-ом. Там буду видны дополнительные блоки кода, в них уже и вглядывайся.

 

[coree]

wireshark
http analyzer
если на скорую руку

 

[kosok11]

Если вы хотите защитить свое устройство от вредоносных программ, вам нужно загрузить устройство в Virustotal или другие организации, чтобы проверить, содержит ли программное обеспечение вредоносное ПО или нет. При тестировании необходимо не забывать использовать RDP или VM.

 

[Red3v1l]

Red3v1l сказал(а):
Если вы хотите защитить свое устройство от вредоносных программ, вам нужно загрузить устройство в Virustotal или другие организации

думаю, что это не однозначно. вирустотал может поставить детект как на "подозрительный софт". просто потому, что его залили для проверки.

 

[bigheadguy]

Red3v1l сказал(а):
При тестировании необходимо не забывать использовать RDP или VM.

ну а под вм нормальная малварь не стартанет )

 

[gliderexpert]

gliderexpert сказал(а):
ну а под вм нормальная малварь не стартанет )

это будет своеобразным детектом)

 

[bigheadguy]

Если софт под винду, то можно посмотреть через Event Viewer + Sysmon. Event ID = 1 (Process Create), посмотреть какие дочерние процессы с какими параметрами создаются, возможно что-то мутное попадется.

 

[varwar]

varwar сказал(а):
Если софт под винду, то можно посмотреть через Event Viewer + Sysmon. Event ID = 1 (Process Create), посмотреть какие дочерние процессы с какими параметрами создаются, возможно что-то мутное попадется.

есть ли 100% вариант, чтобы понять, что бэк имеется? а не сомнительные строчки кода или закрытые?

 

[bigheadguy]

gliderexpert сказал(а):
отдельный комп с чистой системой + снифер трафика на шлюзе.

bigheadguy сказал(а):
есть ли 100% вариант, чтобы понять, что бэк имеется? а не сомнительные строчки кода или закрытые?

вот это обязательно. софт запустить на одном физическом компе, не в виртуальной машине, а wireshark на соседнем физическом компе, и подключить первый комп к интернету через второй комп с ваершарком.
и писать трафик хотя бы день - особо умный софт может не сразу стучаться домой, а через некоторое время.


только разбирать кряк декомпилятором/дизассемблером и искать стучалки.

 

[Dread Pirate Roberts]

brute сказал(а):
Как в такой ситуации быть, подскажите, пожалуйста?

Дай мне поиграться )

 

[Bard]

Выложи ВТшный репорт, посмотрим какие там алерты.
Кстати в подарок может идти не ратник, а засранчик а-ля чернобыль. Мало ли хулиганов. Тогда об этом узнаешь только в апреле.

Но если прям уж очень-очень нужно, закажи реверс кряка/движка. Либо выложи кряк на торренты и подожди реакции других юзеров. Либо найди способ, который позволит запускать рендер движок на виртуалке без потери производительности.

 

[int3]

Bard сказал(а):
Дай мне поиграться )

Скрытый контент для пользователей: Bard.

 

[brute]

int3 сказал(а):
Выложи ВТшный репорт, посмотрим какие там алерты.
Кстати в подарок может идти не ратник, а засранчик а-ля чернобыль. Мало ли хулиганов. Тогда об этом узнаешь только в апреле.

Но если прям уж очень-очень нужно, закажи реверс кряка/движка. Либо выложи кряк на торренты и подожди реакции других юзеров. Либо найди способ, который позволит запускать рендер движок на виртуалке без потери производительности.

https://www.virustotal.com/gui/file/df1b5630e1b71fb51755a52d30cddfc651b6144ad26165fff7be6460959a9622 - сам архив
https://www.virustotal.com/gui/file...40c77057606d2a8341ca7670ed6e1a77068/detection - .dll из кряка
https://www.virustotal.com/gui/file/802ff85804d2980c56a008faaf630d43fbabd1cf3926d154189fb482d9e64948 - виртуальный сервер

кряк работает по принципу создания виртуального сервера с лицензиями на пк (если это имеет значение в данном случае, конечно же)

 

[brute]

brute сказал(а):
вот самые основные файлы из этого кряка

ЛС прочти . И файлы желательно все , а не "основные" или "часть" .
Ибо можно склеить софт с батником , и батник запустит картинку лежащую среди файлов при старте основного файла ,
в итоге получишь на борт зверя от куда и не ждал.

 

[Bard]

Bard сказал(а):
ЛС прочти . И файлы желательно все , а не "основные" или "часть" .
Ибо можно склеить софт с батником , и батник запустит картинку лежащую среди файлов при старте основного файла ,
в итоге получишь на борт зверя от куда и не ждал.

Скрытый контент для пользователей: Bard.