Исследовательская практика

[keyst0rke]

Здравствуйте уважаемые форумчане!
В универе задали сделать исследовательскую работу по теме "Защита от модификации PE файлов", кое-что вроде бы написал, сейчас надо просто перечислить как конкретно (с кодом или алгоритмом) можно защитить исполняемые файлы от реверса, модификации, дизассемблирования и т.п.
Помогите кто чем может, буду благодарен.

[JKornev]

Здравствуйте, ну можете курнуть забугорные туторы http://tuts4you.com/download.php?list.19 там и матчасть и код есть

[keyst0rke]

Да уже написал всё.
Думал что-нибудь экзотичное подскажите, но всё равно спасибо :)

[ximera]

Да уже написал всё.
Думал что-нибудь экзотичное подскажите, но всё равно спасибо :)

Попробуй KRNC'a почитать, особенно "Компьютерные вирусы изнутри и снаружи". Плюс советую зайти на kaimi.ru.

[keyst0rke]

Да читал разумеется, а на kaimi.ru ничего интересно, за исключением пары статей, но они не коим боком не касаются защиты PE.

[ximera]

Да читал разумеется, а на kaimi.ru ничего интересно, за исключением пары статей, но они не коим боком не касаются защиты PE.

Значит внедряй проверку целостности кода.

Оффтоп

Вам же наверняка в институте дали направление куда копать и что-то читали на эту тему. Поделись если не сложно что да как. И еще смени ник на человеческий.

[Darwin]

а на kaimi.ru ничего интересно, за исключением пары статей, но они не коим боком не касаются защиты PE.

Если упаковщик ни коим боком не касается защиты PE, то о чём нам тогда с тобой говорить дальше? Реализации своего упаковщика для института с головой хватит, иначе этот институт находится либо на Луне, либо в кибер отряде РФ )))

[JKornev]

Вы помоему путаете протектор и упаковщик

[keyst0rke]

Эм...?!
Реализация упаковщика защиты как таковой не касается или upx что-то от кого-то защищает? Увы - нет.
Про упаковщик конечно интересно, но к сожалению для меня не актуально, я хотел нарыть что-нибудь по созданию виртуального процессора, но опять же увы - в интернетах никаких реализаций на этот счёт я не увидел.
Написал про защиту от модификации с помощью сверки контрольных сумм, про полифоризм и шифрование кода с помощью RC4, в универе этого должно хватить.

иначе этот институт находится либо на Луне

Хуже. ИТМО

[Darwin]

Вы помоему путаете протектор и упаковщик

Какой принцип работы у протектора и упаковщика? Чего между ними общего? В чем различия?

Реализация упаковщика защиты как таковой не касается или upx что-то от кого-то защищает? Увы - нет.

Да не уже ли? Ну-ну))) Как изменить упакованный файл? Как изменить файл защищенный протектором? Много ли нужно чтобы превратить упаковщик в протектор? Скажу проще, в простейшем случае, протектор состоит из 99% процентов кода упаковщика.

Будет ли такой протектор-упаковщик интересен в теории? Нет. Теории тут на один абзац.
В реализации? Да. Про неё я и говорю.

Написал про защиту

В универе задали сделать исследовательскую работу по теме "Защита от модификации PE файлов"

Написал - это не исследовал. Чтобы исследовать нужно реализовать/по практиковать... Тогда это не "исследовательская работа", а "обычна курсовая" и нечего нам тогда мозги парить.

[keyst0rke]

Какой принцип работы у протектора и упаковщика? Чего между ними общего? В чем различия?

Различие одно: упаковщик упаковывает и сжимает, а протектор защищает. Не стоит их путать.
А сходны они лишь в том, что оба работают с исполняемыми файлами.
Протектор - это программа, которая помимо функции упаковки (хотя в некоторых протекторах упаковки нет) еще и модифицирует исполняемые файлы с целью усложнить их анализ.
Возьмите протектор (обфускатор) PHP кода и посмотрите, сжимает ли он что-то? Да ни разу не сжимает! Защищать что-то и при этом ещё пытаться это оптимизировать коим образом - пустая затея.
Вы знакомы с принципами работы современных протекторов?

Как изменить упакованный файл?

Magic Jump...
Идём по процессу, ждём пока программа распакует себя, потом шаманим, что-то мешает? (:

Написал - это не исследовал. Чтобы исследовать нужно реализовать/по практиковать... Тогда это не "исследовательская работа", а "обычна курсовая" и нечего нам тогда мозги парить.

Написал... Написал я "Актуальность защиты исполняемых файлов", где описал подробно, что и как я предлагаю предпринять для защиты файлов. Научную мне к концу года защищать (:

[keyst0rke]

Не заметил этого сообщения.

Вам же наверняка в институте дали направление куда копать и что-то читали на эту тему. Поделись если не сложно что да как. И еще смени ник на человеческий.

Наверное не поверите, но ничего не дали. Совсем. Мне одному попалось что-то по специальности, некоторые вообще маяться с идиотскими темами, типа "Социальные сети выживают реальное общение" или "Современная культура. К чему мы идём?" и т.д. Это же ИТМО мать его!
Если интересно, я могу скинуть в конце года свою работу.
Оффтоп

Ник... Я не знаю, позволяет ли этот движок менять ники Администрации, если да, то если не сложно - [KeySt0rke] (:

[Darwin]

Различие одно: упаковщик упаковывает и сжимает, а протектор защищает. Не стоит их путать.

Упаковщик с неизвестным (известным) алгоритмом сжатия является простейшим протектором. Чтобы его снять нужно проделать те же действия, что и с протектором + несколько корректировок (если это продвинутый протектор). И причем тут путать? Я тебе объясняю, что упаковщик описанный у kami имеет прямое отношение к защите PE-файлов, поскольку большинство протекторов имеют идентичный с упаковщиками принцип работы, различия заключаются лишь в том, что вместо сжатия они используют шифрование (простейшие протекторы) + несколько анти-дебаг/анти-дамп трюков (более продвинутые). На этом отличия заканчиваются, если, конечно, не считать крутых протекторов, которые помимо всего прочего используют виртуальные машины, для исполнения части инструкций защищаемого файла.

Из твоих ответов я могу сделать следующий вывод: про протекторы и упаковщики ты только слышал, но как они работают не имеешь никакого представления. Поэтому продолжать дальнейшую дискуссию не вижу смысла. Аривидерчи

[keyst0rke]

Бох мой.. Ты застрял в нулевых.
То что описываешь ты под лейблом "продвинутый протектор" сейчас делают школьники и продают на тру-ресурсах, называется это дело крипторы.
А в протекторе, в нормальном протекторе, упор делается не на "шифрование данных неизвестным алгоритмом", а на усложнение исследования. Что мне мешает разреверсить алгоритм упаковки программы и распаковать её? Ничего. И... что ты имеешь ввиду под понятием "анти-дебаг/анти-дамп трюков"? Насколько я знаю, то это больше по части тех же крипторов, дабы антивирусы не смогли распаковать файл и проанализировать его. А живому человеку это не составит проблемы.
"крутыми протекторами" ты как раз таки называешь нормальное ПО для защиты программ.
Из ваших слов я могу смело сказать, что вы, сударь, остановились в развитии лет эдак на 10-12 и до сих пор лелеите своё опухшее ЧСВ. Шли бы подучили что-нибудь. Что бы не путать упаковщики и протекторы, вместе с тру-крипторами разумеется
Оффтоп

Может быть кто-то наконец разрешит наш спор и выскажет своё мнение, кто из нас двоих заблуждается?

[REU]

Оффтоп

Может быть кто-то наконец разрешит наш спор и выскажет своё мнение, кто из нас двоих заблуждается?

Нет. Пишите еще, интересно читать.

[Darwin]

Оффтоп

Сначала научитесь "внимательно" читать. Я говорил про алгоритм сжатия "неизвестный (известный) алгоритм сжатия", а не шифрования. Акцентирую вашу "невнимательность" на то, что алгоритм сжатия можно рассматривать с точки зрения алгоритма шифрования, с той позиции, что и тот и другой превращают код в кашу.

А в протекторе, в нормальном протекторе

Далее я много раз упоминал "в простейшем" протекторе. Так что не надо по ходу поднятия своей информационной осведомленности перекручивать мои слова.

Что мне мешает разреверсить алгоритм упаковки программы и распаковать её? Ничего. И...

А "И" заключается в том, что протектор (неважно какой: примитивный, простой, нормальный, крутой) выполнил свою работу. Защитил файл от модификации. Затребовав от человека решившего модифицировать защищенную программу неких знаний "разреверсить алгоритм упаковки программы и распаковать её" и тем самым потратить некое время на её модификацию.

А живому человеку это не составит проблемы.

Ну, да, а опытному крэкеру не состваит проблемы разобраться с "нормальным протектором". (Невнимательным: из чего следует, что простые протекторы защищают от антивирусов и людей не знакомых с ассемблером/IDA Pro/OllyDbg, крутые от опытных крекеров, а от "опытно-продвинутых" крекеров не защищает ничего).

Есть один способ защитить файл от изменения, но для этого нужна аппаратная поддержка на уровне процессора (и соответственно некая программная), причем для этого не нужны никакие крипторы и прочая лабуда. Все что нужно это просто подписать файл и при каждой загрузке проверять его подпись. К сожалению на x86 архитектуре сейчас такое не реализуемо. Но подобный принцип уже реализован начиная с Samsung Galaxy SIII. Называется эта штука ARM TrustZone. (Невнимательным: реализовано на ARM процессорах).

[keyst0rke]

Оффтоп

[JKornev]

С точки зрения обычного человека, например незнакомого с вирусологией троян и червь это одно и тоже(т.е. вирус), тем не менее эти программы разные и классифицируются по их алгоритмической сути. Да бывают просто трояны или просто черви, а бывают трояны-черви-и-хз-еще-что. Я уверен что тут нет людей к0торые не понимали бы эти простые вещи. Но к чему я веду, с протекторами и упаковщиками история та же, алгоритмически это разные программы, но они могут иметь смешанный функционал и это норм. Да сжатие упаковщиком усложняет возможность модификации исполняемого модуля, но упаковщик сам по себе может не нести функции защиты, это опционально, чего не скажешь о протекторе где наоборот упаковка является опциональной, а функции защиты обязательны.

[Darwin]

Оффтоп

JKornev, я согласен с твоим комментарием, но я НЕ говорю про функции защиты или алгоритмы, все это время я объясняю, что РЕАЛИЗАЦИЯ упаковщика "касается" ЗАЩИТЫ PE-файлов!!

Грубо говоря, что нужно для реализации протектора?
1. Функционал упаковщика.
2. Функционал комплексной защиты.

Что нам нужно для реализации протектора, когда у нас нет исходников упаковщика?
1. Реализовать функционал упаковщика.
2. Реализовать функционал комплексной защиты.

Что нам нужно для реализации протектора, когда у нас есть исходники упаковщика?
1. Реализовать функционал комплексной защиты.

Теперь вопрос дня, имеет ли упаковщик отношение к защите PE-файлов?

[JKornev]

Вы задали мне вопрос где-то в ветке, это был ответ

Теперь вопрос дня, имеет ли упаковщик отношение к защите PE-файлов?

Упаковщик можно считать частью комплексной защиты, но отдельно он защиты практически не несёт, разве только от дурака.