The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.07.2017 11:59  Компания Cisco открыла код PyREBox, окружения для изучения вредоносного ПО

Разработчики из компании Cisco представили проект PyREBox, в рамках которого подготовлено окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО. PyREBox представляет собой надстройку над QEMU, снабжённую дополнительными средствами для инспектирования содержимого памяти, отладки и динамического анализа работы системы и приложений. Код распространяется под лицензией GPLv2.

В отличие от традиционных отладчиков, работающих в одном системном окружении с проверяемым приложением, PyREBox полностью отделён от изучаемого окружения и позволяет наблюдать за ним со стороны, при необходимости вмешиваясь в его работу. PyREBox создаёт эмулируемое окружение для всей системы, предлагая простой интерфейс для наблюдения за этим окружением, не требуя установки особых драйверов или агентов, а работая непосредственно на уровне эмулятора и предоставляемого им API VMI (Virtual Machine Introspection). В настоящее время возможно создание окружений i386 и x86_64, но в планах намечена поддержка ARM, MIPS, PowerPC и других архитектур.

Интерфейс для управления и отладкой построен на базе интерактивной оболочки IPython. Исследователю предоставляется полный набор команд для инспектирования и модификации состояния работающей виртуальной машины. В том числе можно на лету изменять содержимое областей памяти и регистров CPU. Имеются гибкие средства автоматизации, основанные на подключении сценариев на языке Python. При этом компоненты PyREBox выполнены как надстройка над QEMU, но не пересекаются с QEMU, что даёт возможность быстро адаптировать продукт к новым выпускам QEMU, не утруждая себя ведением собственного форка.

Поддерживается интеграция с пакетом криминалистического анализа Volatility и подключения плагинов от него. Также можно подключать собственные плагины с дополнительными обработчиками или привязывать Python-скрипты к определённым событиям, например, скрипт может быть вызван перед выполнением определённой процессорной инструкции, при обращении приложения к заданной области памяти, создании/завершении процессов, переключении контекста, промахах TLB, событиях от сетевого интерфейса и клавиатуры. Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.

  1. Главная ссылка к новости (http://blog.talosintelligence....)
  2. OpenNews: Выпуск отладчика GDB 8.0
  3. OpenNews: Выпуск системы динамической отладки SystemTap 3.1
  4. OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
  5. OpenNews: Выпуск платформы динамической трассировки приложений Frida и отладчика CryptoShark
  6. OpenNews: Проект Mozilla представил rr 1.0.0, отладчик для крупных проектов на С/C++
Лицензия: CC-BY
Тип: Программы
Ключевые слова: pyrebox, debug, qemu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 13:04, 24/07/2017 [ответить] [смотреть все]
  • +6 +/
    Зачем им изучать собственное ПО?
     
     
  • 2.2, A.Stahl, 13:10, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой код :)
     
     
  • 3.3, Andrey Mitrofanov, 13:20, 24/07/2017 [^] [ответить] [смотреть все]
  • +5 +/
    Зачем им изучать собственное ПО окружение для обратного инжиниринга и н... весь текст скрыт [показать]
     
  • 3.4, Zoolander, 16:42, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Вброс засчитан )

    Взрослым дядям надо кушать - вот и пишут на JS

     
     
  • 4.9, Led, 21:24, 24/07/2017 [^] [ответить] [смотреть все]  
  • +/
    > Взрослым дядям надо кушать

    Поэтому они так много какают?

     
     
  • 5.13, opennotru, 01:00, 25/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Потому что водка подешевела.
     
  • 2.7, Аноним, 18:02, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы знаете хоть один нормально работающий программный продукт от циски Не железк... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 16:52, 24/07/2017 [ответить] [смотреть все]  
  • +/
    На самом деле поразительно, как в России любят данную компанию.

     
     
  • 2.6, Аноним, 18:00, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это уже лечится К сожалению чиновников, эта компания с самым дорогим оборудова... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Pofigist, 07:41, 25/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Да ладно Оборудование - недорогое, посмотри для сравнения на цены конкурентов, ... весь текст скрыт [показать]
     
     
  • 4.15, Аноним, 09:09, 25/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Сравним эквивалентное магистральное оборудование с Huawei?
     
     
  • 5.16, Аноним, 11:17, 25/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Или Mikrotik :)
     
     
  • 6.19, PnDx, 12:06, 25/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Магистральное.
     
  • 1.8, яя, 18:16, 24/07/2017 [ответить] [смотреть все]  
  • –2 +/
    > Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.

    Чувак пишет фильтр, а в ответ нот-фаунд, он что-то поправляет, а в ответ через 15 мин когда своп исчерпан, оом-киллеp убивает qemu, и только 5000 копий скрипта рапортующих о событии в памяти.

    ЗЫ. киллеp это ппц как не нормативно

     
  • 1.10, Crazy Alex, 22:05, 24/07/2017 [ответить] [смотреть все]  
  • +/
    А что за безумие в комментах? Отличная же штука на вид...
     
     
  • 2.11, Andrey Mitrofanov, 23:17, 24/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > А что за безумие в комментах? Отличная же штука на вид...

    Реактивное комментирование. Первых двух слов ^W токенов темы -- достаточно.

     
  • 2.12, Аноним84701, 00:52, 25/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Cмотря для чего У малварщиков проверка на виртуалку или песочницу уже лет десят... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Crazy Alex, 11:26, 25/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Я в курсе, сам когда-то песочницу дрвеба определял, ещё в ДОС... Но безумие комментов это никак на объясняет.

    P.S. Сейчас я от малвари и борьбы с ней далековато, но не вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.

     
     
  • 4.20, Аноним84701, 14:24, 25/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Уже лет пять как серьезно не ковырял, но по нескольку обфускаторов матрешкой с... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor