zbeng Posted June 29, 2006 Report Posted June 29, 2006 In primul rind ce este o rima de internet ? O rima e un program care are capabilitatea de a se multiplica si de a se "muta" de pe un sistem pe altul folosind gauri de securitate in sistemele respective . Studiul unei rime de internet poate fi fascinant insa de obicei ca sa studiezi o rima trebuie sa o ai ... Iar ca sa o ai exista 2 posibilitati : O downloadezi de pe diverse site-uri sau newsgrupuri ... O prinzi singur A doua posibilitate trebuie sa recunoastem este mult mai interesanta. Scule necesare Un sistem honeypot si scule de analiza a executabilelor. Cum se realizeaza un honeypot de prins rime Avind in vedere ca rimele sint programe automate care scaneaza de obicei dupa niste gauri de securitate fixe , probabilitatea de a prinde o rima pe honeypot este mult mai mare decit a prinde un blackhat . Dar, avind in vedere ca rimele nu poseda "inteligenta" si de regula nu au mecanisme de verificare de honeypot, problema se poate simplifica destul de mult . Se poate folosi de exemplu vmware + sistemul de operare dorit sau UML + linuxul dorit. Mare atentie insa. O rima intrata in honeypot nu va sta prea mult pe ginduri si va incepe sa atace alte sisteme. De aceea trebuie pus la punct FOARTE bine sistemul de control de trafic outgoing de pe honeypot. Daca aceste scripturi nu sint puse bine la punct atunci riscul ca rima sa infecteze alte sisteme este mare si NU va doriti ca o rima prinsa intr-un honeypot sa "fuga" in alta parte ... Odata toate scripturile facute, honeypotul activ tot ce ramine de facut este sa asteptati. Presupunind ca honeypot-ul e infectat cu rima. Ce facem mai departe ? Acum intervine partea complicata si cea mai interesanta . Analiza rimei Partea de disectie daca preferati termenul . Pentru disectie (reverse engineering) sint o gramada de scule ajutatoare. Informatii detaliate cu privire la reverse enineering se gasesc , culmea ironiei , pe cel mai vechi si bun site de cracking (www.fravia.org). Acolo gasiti foarte multe informatii utile despre principiile reverse engineering, how-to, tutoriale. Site-ul este in mare parte dedicat platformei windows dar principiile sint similare. La data la care am inceput sa scriu la acest "articol" IDA nu era disponibila pentru linux (www.datarescue.com). news ... ida e disponibila si pe linux. Este scula cea mai folosita pentru dezasamblarea unui executabil. Si este foarte folositoare in momentul in care vrei sa intelegi ce se intimpla in interiorul unui executabil atunci cind nu ai sursele de la executabil. IDA fiind aplicatie de Win32 va fi nevoie de wine sau vmware pentru a fi rulata . La capitolul debugers linuxul sta bine. Evident un debugger gen SoftIce ( pentru win32 ) eu nu am vazut pe linux. Dar se poate lucra relativ usor cu gdb sau xgdb. Restul de scule ajutatoare pentru analiza unei rime de obicei se fac la fata locului. Adica se programeaza. Sculele de baza pentru reverse engineering ramin totusi: un dezasamblor , un debugger si multa multa rabdare . Quote
bomby Posted March 28, 2011 Report Posted March 28, 2011 interesant chiar nu stiam k exista rima Quote
