You are on page 1of 2

Vazeny pan student,

tu su nejake tie zdroje pre nadejneho zacinajuceho virusoveho analytika:

• http://www.planetpdf.com/codecuts/pdfs/aoa.pdf - super prirucka k assembleru, od zakladov az po


pokrocilejsie veci
• http://win32assembly.online.fr/tutorials.html - Iczelion's Win32 Assembly Tutorials - dalsie zname meno v
tejto oblasti, jednoduche vecicky, su tam detaily okolo formatu PE suborov a podobne. Ako tak pozeram,
EliCZ uz svoje stranky stiahol, ale budu sa urcite niekde dat najst. Aspon teda nejake casti z nich.
• http://www.woodmann.com/crackz/Tutorials/ su nejake navody, ako crackovat - netreba sa tym nejak
prilis zapodievat, skor len pre ziskanie predstavy ako sa take veci robia a da sa z toho zistit, ako veci
funguju under the hood. Niektore z tych veci tam budu asi trochu zastarale, najma co sa tyka
pouzivaneho OS (na Win9x sa crackuje ovela lepsie ako na WinNT), pripadne nastroje. Ale ako som
povedal, cracking nie je nas primarny ciel.
• co sa tyka nastrojov, tak cislo jedna bol kedysi dnes uz nevyvijany a nepodporovany SoftICE. Bola to
komercna vec, takze to je trochu problem potahat. Je to na pozadi windowsu beziaci debugger - vyhodu
ma v tom, ze sa da vzdy s nim breaknut do lubovolneho procesu, nevyhodu zasa taku, ze ak bezi, tak
system nie je uplne to, co byval. Osobne by som si ho nechal na neskor, my ho v dnesnej dobe skoro
nepouzivame. Dalsim z profesionalnych nastrojov, ktore sa v AV komunite pouzivaju, je IDA
disassembler, ale je to taktiez komercna, dost draha a teda tazko dostupna zalezitost.
• dobry free debugger/disassembler je OllyDBG (http://www.ollydbg.de/), ma to pluginy, velmi sikovna
vec. Dalsi tool je WinDASM (da sa pogooglit a potahat) - na nieco je lepsi, taky robustnejsi, ale celkovo
je Olly prehladnejsi. My vyslovene frcime na Olly debuggeri, a vela ludi z brandze tiez, takze myslim, ze
na uvod pre studium ASM a reverse engineeringu je to tool cislo 1.
• co sa tyka kompilatora, tak MASM pre assembler (http://www.masm32.com/), programuje sa u nas v MS
VisualC++, takze dobre by bolo vediet sa v tom orientovat (tym mam na mysli nielen prostredie, ale skor
vo vykompilovanom kode). Celkom sikovne je zo zaciatku skusat assemblerovske rutiny vkladat do
Ccka, nie su problemy s kompilaciou a formalitami okolo toho, ako vobec zacat pisat kod.
• no a este nieco z ineho sudka. Je dobre aspon tusit, o com su skriptove jazyky, ako VBScript, JavaScript
a podobne (BAT subory a HTML snad netreba extra spominat). A ked uz sme pri skriptovani - UNIXove
tooly su velmi sikovne, ak s tym clovek vie robit, takze odporucam si zistit, co je to Cygwin
(http://www.cygwin.com/). Toto priamo nemusi suvisiet s analyzou, ale zvysuje to pocitacovu gramotnost.
;)
• ako uvod do problematiky pocitacovych infiltracii dobre posluzi toto:
http://www.viry.cz/viry.cz/kniha/kniha.pdf. Nie je to ziadna hi-tech zalezitost, skor take citanie na dobru
noc. Ale na ziskanie prehladu uplne idealne.
• a nakoniec akysi zoznam s nastrojmi a strankami, kde co hladat. Je toho celkom dost, treba skusit
niektory z tutorialov, ten uz bude dalej navadzat, co kedy pouzit a kde to ziskat.

Nastroje:
Syser - velmi dobry debugger http://www.sysersoft.com
Pre OllyDBG:
OllyAdvanced - anti anti debug + nejake bug fixy
OdbgScript – umoznuje skriptovanie v OllyDBG
OllyDump - memory dumping + import rebuilding
Phant0m - anti anti debug
Immunity Debugger – zalozene na OllyDBG, plus podpora skriptovanie v Pythone – velmi dobry nastroj, ked ho
clovek vie pouzivat
Dalsie nastroje:
LordPE, PETools - memory dumper, PE Editor, PE Rebuilder
NTCore's Explorer Suite III – dalsi PE editor
Import REConstructor v1.6 FINAL – vyborny nastroj na rekonstrukciu importov
Gmer, RkUnhooker, IceSword – uzitocne hook monitory
Znalost nastrojov od sysinternals.com je nutnost. ;)
Linky na tutorialy:

http://tuts4you.com http://wasm.ru
http://openrce.org http://cracklab.ru
http://exetools.com/forum
http://protools.cjb.net

prajem vela zdaru,


ESET team
PS: To prasa, co pre vas chovame, pojde na pekac na kazdorocnej firemnej akcii s krycim nazvom "Zranica". Tak
sa tam snad pripadne stretneme...