Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
Сообщение от opennews (??) on 24-Июл-17, 13:04
Разработчики из компании Cisco представили (http://blog.talosintelligence.com/2017/07/pyrebox.html) проект PyREBox (https://talosintelligence.com/pyrebox), в рамках которого подготовлено окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО. PyREBox представляет собой надстройку над QEMU, снабжённую дополнительными средствами для инспектирования содержимого памяти, отладки и динамического анализа работы системы и  приложений.  Код распространяется (https://github.com/Cisco-Talos/pyrebox) под лицензией GPLv2. В отличие от традиционных отладчиков, работающих в одном системном окружении  с проверяемым приложением, PyREBox полностью отделён от изучаемого окружения и позволяет наблюдать с ним со стороны, при необходимости вмешиваясь в его работу. PyREBox создаёт эмулируемое окружение для всей системы, предлагая простой интерфейс для наблюдения за этим окружением, не требуя установки особых драйверов или агентов, а работая непосредственно на уровне эмулятора и предоставляемого им API VMI (Virtual Machine Introspection). В настоящее время возможно создание окружений i386 и x86_64, но в планах намечена поддержка ARM, MIPS, PowerPC и других архитектур. Интерфейс для управления и отладкой построен на базе интерактивной оболочки IPython.  Исследователю предоставляется полный набор команд для инспектирования и модификации состояния работающей виртуальной машины. В том числе можно на лету изменять содержимое областей памяти и регистров CPU. Имеются гибкие средства автоматизации, основанные на подключении сценариев на языке Python. При этом компоненты PyREBox выполнены как надстройка над QEMU, но не пересекаются с QEMU, что даёт  возможность быстро адаптировать продукт к новым выпускам QEMU, не утруждая себя ведением собственного форка. Поддерживается интеграция с пакетом криминалистического анализа Volatility (http://www.volatilityfoundation.org/) и подключения плагинов от него. Также можно подключать собственные плагины с дополнительными обработчиками или привязывать Python-скрипты (https://github.com/Cisco-Talos/pyrebox/tree/master/scripts) к определённым событиям, например, скрипт может быть вызван перед выполнением определённой процессорной инструкции, при обращении приложения к заданной области памяти,  создании/завершении процессов, переключении контекста, промахах TLB, событиях от сетевого интерфейса и клавиатуры. Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.        URL: http://blog.talosintelligence.com/2017/07/pyrebox.html Новость: http://www.opennet.me/opennews/art.shtml?num=46906
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+6 +/–
Сообщение от Аноним (??) on 24-Июл-17, 13:04
Зачем им изучать собственное ПО?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+4 +/–
	Сообщение от A.Stahl (ok) on 24-Июл-17, 13:10
	Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой код :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+5 +/–
	Сообщение от Andrey Mitrofanov on 24-Июл-17, 13:20
	#>> Зачем им изучать собственное ПО? > Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой > код :) #>>>окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО. Как вы двое углубились в тему. #зависть
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Zoolander on 24-Июл-17, 16:42
	Вброс засчитан ) Взрослым дядям надо кушать - вот и пишут на JS
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Led (ok) on 24-Июл-17, 21:24
	> Взрослым дядям надо кушать Поэтому они так много какают?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	13. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от opennotru on 25-Июл-17, 01:00
	Потому что водка подешевела.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	7. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Аноним (??) on 24-Июл-17, 18:02
	> Зачем им изучать собственное ПО? Вы знаете хоть один нормально работающий программный продукт от циски? Не железку, а именно программный продукт? Вот и они, вероятно, не знают.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
Сообщение от Аноним (??) on 24-Июл-17, 16:52
На самом деле поразительно, как в России любят данную компанию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Аноним (??) on 24-Июл-17, 18:00
	Это уже лечится. К сожалению чиновников, эта компания (с самым дорогим оборудованием и величной откатов // мелким шрифтом) в санкционных списках по обе стороны океана. Как со стороны гостдепа - запрет на поставки в гос органы, так и с нашей стороны.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	14. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Pofigist on 25-Июл-17, 07:41
	Да ладно! Оборудование - недорогое, посмотри для сравнения на цены конкурентов, откаты - минимальное, посмотри для сравнения на мюнхенский попил...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	15. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Аноним (??) on 25-Июл-17, 09:09
	Сравним эквивалентное магистральное оборудование с Huawei?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	–1 +/–
	Сообщение от Аноним (??) on 25-Июл-17, 11:17
	Или Mikrotik :)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	19. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+1 +/–
	Сообщение от PnDx (ok) on 25-Июл-17, 12:06
	Магистральное.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

8. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	–2 +/–
Сообщение от яя on 24-Июл-17, 18:16
> Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости. Чувак пишет фильтр, а в ответ нот-фаунд, он что-то поправляет, а в ответ через 15 мин когда своп исчерпан, оом-киллеp убивает qemu, и только 5000 копий скрипта рапортующих о событии в памяти. ЗЫ. киллеp это ппц как не нормативно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
Сообщение от Crazy Alex (ok) on 24-Июл-17, 22:05
А что за безумие в комментах? Отличная же штука на вид...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Andrey Mitrofanov on 24-Июл-17, 23:17
	> А что за безумие в комментах? Отличная же штука на вид... Реактивное комментирование. Первых двух слов ^W токенов темы -- достаточно.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Аноним84701 (ok) on 25-Июл-17, 00:52
	> А что за безумие в комментах? Отличная же штука на вид... Cмотря для чего. У малварщиков проверка на виртуалку или песочницу уже лет десять как "стандарт". Типа: http://webcache.googleusercontent.com/search?q=cache:7qv1dak... > STL Packer Premium . > Most Advanced Crypter/Packer >  Anti Parallels > Anti QEMU > Anti Sandboxie -LRB- not rly a vm , but its used locally , so anti can be enabled/disabled -RRB- > Anti Virtual Box > Anti Virtual PC -LRB- VPC -RRB- > Anti VMware > + Generic Anti VM (это первый подходящий, "общедоступный" результат, но как я уже упоминал, для "крипторов" (обфускаторов) малвари оно уже давным давно "в моде") благо, гуглится на раз, https://github.com/AlicanAkyol/sems > Virtualbox, VirtualMachine, Cuckoo, Anubis, ThreatExpert, Sandboxie, QEMU, Analysis Tools Detection Tools да и сам код проверок даже когда-то на шестом вижулабейсике был. Так что просто запускать и наблюдать за поведением бинаря даст весьма сомнительный результат.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	17. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+/–
	Сообщение от Crazy Alex (ok) on 25-Июл-17, 11:26
	Я в курсе, сам когда-то песочницу дрвеба определял, ещё в ДОС... Но безумие комментов это никак на объясняет. P.S. Сейчас я от малвари и борьбы с ней далековато, но не вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	20. "Компания Cisco открыла код PyREBox, окружения для изучения в..."	+1 +/–
	Сообщение от Аноним84701 (ok) on 25-Июл-17, 14:24
	> P.S. Сейчас я от малвари и борьбы с ней далековато, но не > вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и  потом будем гонять в виртуалке" неприменимо. Уже лет пять как серьезно не ковырял, но по нескольку обфускаторов"матрешкой" (с интегрированными "анти" плюс еще собственные велосипеды малвари) - не такое уж и редкое явление. Особо одаренные умудрялись поверх неплохих  "обфускаторов" еще и "Drop"-еры (т.е. примитив, распакующий тупо в файл) нацеплять. Поэтому дампить и выкусывать защиту придется несколько раз. Но я вообще-то к  тому, что одним таким "non-intrusive"-дебагером все равно не обойтись (тем более, не катят мечты любителей варезов"я запускал в виртуалке и там не было ничего подозрительного!"), хотя сама по себе штука интересная (причем, не только для разбора малвари). > Но безумие комментов это никак на объясняет. *cмотрит непонимающе* неспокойная магнитосфера http://www.tesis.lebedev.ru/magnetic_storms.html и недавнее новолуние же!
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема