{"id":207042,"date":"2013-12-23T13:12:03","date_gmt":"2013-12-23T09:12:03","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=207042"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=207042","title":{"rendered":"<span class=\"post_title\">0day Wednesday \u2013 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u043e\u0432\u0435\u0439\u0448\u0435\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u0430<\/span>"},"content":{"rendered":"<div class=\"content html_format\"> \t\t\t\u041a\u0442\u043e-\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u043d\u0430\u0437\u0432\u0430\u0442\u044c \u044d\u0442\u043e \u0431\u0435\u0437\u0443\u043c\u0438\u0435. \u0414\u043b\u044f \u043c\u0435\u043d\u044f \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u0440\u0435\u0434\u0430.<\/p>\n<p>  \u041e\u043d\u0430 \u0434\u043e\u0441\u0442\u0430\u043b\u0430\u0441\u044c \u043c\u043d\u0435 \u0432\u0447\u0435\u0440\u0430, \u0438 \u044f \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0441\u044f \u0441 \u043d\u0435\u0439 \u0441\u0435\u0433\u043e\u0434\u043d\u044f. \u041e\u043d\u0430 \u043f\u0440\u0438\u0448\u043b\u0430 \u0432 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u043a java \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0443 \u043e\u0442 \u0441\u0442\u0430\u0440\u043e\u0433\u043e 2012 <abbr title=\"Common Vulnerabilities and Exposures\">CVE<\/abbr> (SecurityManager, \u044f \u043f\u043e\u043b\u0430\u0433\u0430\u044e). \u042f \u043d\u0430\u0437\u044b\u0432\u0430\u044e \u0435\u0451 0day<a href=\"#f1\"><sup>[1]<\/sup><\/a><a name=\"b1\"><\/a>, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0435\u0451 \u043d\u0435\u0442\u0443 \u0432 \u0431\u0430\u0437\u0430\u0445 <a href=\"https:\/\/www.virustotal.com\/\">VirusTotal<\/a> \/ <a href=\"https:\/\/malwr.com\/\">Malwr<\/a> \u043d\u0438 \u0432 \u043a\u0430\u043a\u043e\u043c \u0432\u0438\u0434\u0435 \u2014 \u043d\u0438 \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u043c, \u043d\u0438 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u043c.<\/p>\n<p>  \u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0432 IDA<a href=\"#f2\"><sup>[2]<\/sup><\/a><a name=\"b2\"><\/a> \u0437\u0430\u0432\u0435\u0440\u0448\u0430\u0435\u0442\u0441\u044f \u043e\u0448\u0438\u0431\u043a\u043e\u0439:<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p1.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/9f0\/b9e\/1a6\/9f0b9e1a65cc945454d38d4f949ff6cd.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041f\u043e\u0445\u043e\u0436\u0435, \u0447\u0442\u043e \u0442\u043e\u0442 \u0437\u0430\u0441\u0440\u0430\u043d\u0435\u0446, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u044d\u0442\u043e \u0434\u0435\u043b\u0430\u043b, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u0437\u043d\u0430\u043b, \u0447\u0442\u043e \u043d\u0435\u043a\u0442\u043e \u0432\u0440\u043e\u0434\u0435 \u043c\u0435\u043d\u044f \u043f\u043e\u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 \u0430\u043d\u0430\u043b\u0438\u0437. <a name=\"habracut\"><\/a>\u0412 \u043b\u044e\u0431\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435, \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043d\u0435 \u0442\u0430\u043a \u0443\u0436 \u043c\u043d\u043e\u0433\u043e \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u043e\u0432 \u043c\u043e\u0434\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0439 exe, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0441\u0432\u043e\u0434\u044f\u0442 \u0441 \u0443\u043c\u0430 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440, \u043d\u043e \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u0438\u0433\u043d\u043e\u0440\u0438\u0440\u0443\u044e\u0442\u0441\u044f Windows.<\/p>\n<p>  \u0418\u0441\u0441\u043b\u0435\u0434\u0443\u044f exe-\u0444\u0430\u0439\u043b \u0432 <a href=\"http:\/\/www.ntcore.com\/exsuite.php\">CFF Explorer<\/a>, \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u043e\u0448\u0438\u0431\u043a\u0443 \u0432 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 NT-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e \u0432 \u00abData Directories\u00bb \u043d\u0430 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0438 Delay Import Directory RVA. CFF \u043f\u0440\u0435\u043a\u0440\u0430\u0441\u0435\u043d \u0442\u0435\u043c, \u0447\u0442\u043e \u0441\u0440\u0430\u0437\u0443 \u043f\u043e\u0434\u0441\u0432\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 0x00000040 \u043a\u0430\u043a \u043d\u0435\u0432\u0435\u0440\u043d\u043e\u0435. \u0417\u0430\u043d\u0443\u043b\u044f\u0435\u043c \u0435\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u0438\u0441\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043e\u0448\u0438\u0431\u043a\u0443.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p2.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/f37\/293\/18e\/f3729318eebb55b8639f284ca92b43ac.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0421\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u043c exe \u0438 \u0437\u0430\u043d\u043e\u0432\u043e \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u043c \u0435\u0433\u043e \u0432 IDA \u2014 \u0442\u0435\u043f\u0435\u0440\u044c \u043e\u0448\u0438\u0431\u043a\u0438 \u043d\u0435\u0442 \u0438 \u043e\u0442\u0440\u044b\u0442\u0438\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 \u0431\u0435\u0437 \u0441\u0443\u0447\u043a\u0430 \u0438 \u0437\u0430\u0434\u043e\u0440\u0438\u043d\u043a\u0438.<\/p>\n<p>  \u0411\u0435\u0433\u043b\u044b\u0439 \u043e\u0441\u043c\u043e\u0442\u0440 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u044d\u0442\u043e MFC<a href=\"#f3\"><sup>[3]<\/sup><\/a><a name=\"b3\"><\/a>-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435. \u041a\u0430\u043a \u044f \u043f\u043e\u043d\u044f\u043b \u044d\u0442\u043e? \u041e\u0431 \u044d\u0442\u043e\u043c \u043f\u0440\u044f\u043c\u043e \u0441\u043a\u0430\u0437\u0430\u043d\u043e \u0432 \u0441\u0442\u043e\u043b\u0431\u0446\u0435 Library \u0441\u0435\u043a\u0446\u0438\u0438 \u0438\u043c\u043f\u043e\u0440\u0442\u0430.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p3.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/5d1\/0c4\/b23\/5d10c4b2398f56747ae4efae4a806d83.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0441\u0430\u043c\u043e \u0441\u043e\u0431\u043e\u0439, \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043e. \u041f\u0430\u043c\u044f\u0442\u044c \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u0430. \u041d\u0438\u043a\u0430\u043a\u0438\u0445 \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432 \u0441\u0435\u043a\u0446\u0438\u0439, \u0431\u0430\u043d\u0430\u043b\u044c\u043d\u0430\u044f \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043f\u0430\u043c\u044f\u0442\u044c.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p4.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/fac\/bf7\/b40\/facbf7b40d587b45e4db4eb8b1bf40a9.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0427\u0442\u043e \u0436, \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u2014 \u043d\u0435 \u0432\u0430\u0440\u0438\u0430\u043d\u0442. \u0414\u043b\u044f \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0433\u043e \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437. <s>\u0428\u0430\u0448\u043a\u0438<\/s> <abbr title=\"Immunity Debugger\">Immunity<\/abbr> \u043d\u0430\u0433\u043e\u043b\u043e!<\/p>\n<p>  \u041f\u0435\u0440\u0435\u0434 \u0442\u0435\u043c \u043a\u0430\u043a \u043f\u043e\u0433\u0440\u0443\u0437\u0438\u0442\u0441\u044f \u0432 Immunity \u0438 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u0443\u044e \u043c\u0430\u0448\u0438\u043d\u0443, \u0441\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c \u043f\u0430\u0440\u0443 \u043d\u0435\u0431\u0435\u0437\u044b\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0445 \u0432\u0435\u0449\u0435\u0439, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0432\u0438\u0434\u043d\u044b \u0432 IDA, \u043e\u0434\u043d\u0430\u043a\u043e \u0431\u044b\u043b\u0438 \u0437\u0430\u043c\u0435\u0447\u0435\u043d\u044b \u0432 CFF Explorer. \u0414\u043b\u044f \u043d\u0430\u0447\u0430\u043b\u0430, \u0435\u0441\u0442\u044c \u043f\u0430\u0440\u0443 \u0444\u0430\u0439\u043b\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435, \u043d\u0430 \u0440\u0430\u0434\u043e\u0441\u0442\u044c \u041a\u0430\u043f\u0438\u0442\u0430\u043d\u0443 \u041e\u0447\u0435\u0432\u0438\u0434\u043d\u043e\u0441\u0442\u0438, \u0441\u043a\u0440\u044b\u0442\u044b \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432.<\/p>\n<p>  \u041f\u0435\u0440\u0432\u044b\u0439 \u2014 \u044d\u0442\u043e PNG \u0444\u0430\u0439\u043b:<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p5.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/378\/1ca\/5fe\/3781ca5fe6b0b977bcbb4d8561a8d563.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0412\u0442\u043e\u0440\u043e\u0439 \u2014 HTML \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430:<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p6.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/57e\/06b\/d28\/57e06bd284cf16bc10863de5a8576e0b.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0421\u0442\u0440\u0430\u043d\u043d\u043e. \u0417\u0430\u0433\u0440\u0443\u0437\u0438\u0432 PNG \u0444\u0430\u0439\u043b \u0432 IrfanView (\u043b\u0443\u0447\u0448\u0438\u0439 \u0432\u044c\u044e\u0432\u0435\u0440 \u0434\u043b\u044f \u0438\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u0439, \u043c\u0435\u0436\u0434\u0443 \u043f\u0440\u043e\u0447\u0438\u043c) \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0447\u0435\u0440\u043d\u044b\u0439 \u043f\u0440\u044f\u043c\u043e\u0443\u0433\u043e\u043b\u044c\u043d\u0438\u043a, \u0447\u0442\u043e \u043d\u0435 \u0441\u043e\u0432\u0441\u0435\u043c \u0432\u044f\u0436\u0435\u0442\u0441\u044f \u0441 \u0435\u0433\u043e \u0440\u0430\u0437\u043c\u0435\u0440\u043e\u043c \u0432 55 \u041a\u0411. \u041d\u0430\u0432\u0435\u0440\u043d\u044f\u043a\u0430 \u0447\u0442\u043e-\u0442\u043e \u0441\u043f\u0440\u044f\u0442\u0430\u043d\u043e \u0432\u043d\u0443\u0442\u0440\u0438. <a href=\"http:\/\/habrahabr.ru\/post\/114597\/\">\u0421\u0442\u0435\u0433\u0430\u043d\u043e\u0433\u0440\u0430\u0444\u0438\u044f<\/a>?<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p7.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/2bd\/f9d\/4a5\/2bdf9d4a509c1949029ea7083a79f414.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 HTML-\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443. \u0417\u0430\u0433\u0440\u0443\u0437\u0438\u0432 \u0438 \u043f\u043e\u0447\u0438\u0441\u0442\u0438\u0432 \u0435\u0433\u043e \u0432 Notepad++, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0447\u0442\u043e-\u0442\u043e \u043f\u043e\u0445\u043e\u0436\u0435\u0435 \u043d\u0430 \u0441\u043a\u0440\u0438\u043f\u0442 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u0442\u0438\u043f\u0430 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p8.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/08a\/6f7\/95e\/08a6f795ed4997a0253a457f5ce266ba.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041f\u043e\u0447\u0435\u043c\u0443 \u0432\u0441\u0435 \u044d\u0442\u043e \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u0441\u0435\u043a\u0446\u0438\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432, \u0434\u0430 \u0435\u0449\u0435 \u0438 \u0432 \u043d\u0435\u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0432\u0438\u0434\u0435 \u2014 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u0437\u0430\u0433\u0430\u0434\u043a\u043e\u0439. \u041a \u0441\u0435\u043a\u0446\u0438\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 \u043c\u044b \u0435\u0449\u0435 \u0432\u0435\u0440\u043d\u0435\u043c\u0441\u044f. \u0410 \u043f\u043e\u043a\u0430 \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u043c \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u043a\u0443.<\/p>\n<p>  \u0417\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c <a href=\"https:\/\/www.immunityinc.com\/products-immdbg.shtml\">Immunity Debugger<\/a> \u0438 Virtual Box \u0438 \u043f\u043e\u0434\u0433\u0440\u0443\u0436\u0430\u0435\u043c \u0430\u043d\u0442\u0438-\u0430\u043d\u0442\u0438-\u043e\u0442\u043b\u0430\u0434\u043e\u0447\u043d\u044b\u0439 python \u043f\u043b\u0430\u0433\u0438\u043d.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p9.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/287\/dc1\/562\/287dc156211b76907b61a5b589d7a466.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0437\u0430\u0432\u0435\u0440\u0448\u0438\u0442\u0441\u044f, \u043c\u043e\u0436\u043d\u043e \u0441\u043b\u0438\u0442\u044c \u043f\u0430\u043c\u044f\u0442\u044c \u0438 \u0437\u0430\u043d\u044f\u0442\u044c\u0441\u044f \u0435\u0451 \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c:<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p10.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/25a\/2ec\/90c\/25a2ec90cb3b395263ae426bbe0852a4.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u042f \u0437\u0430\u043c\u0435\u0442\u0438\u043b \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043e\u0431\u043b\u0430\u0441\u0442\u0435\u0439 \u043f\u0430\u043c\u044f\u0442\u0438, \u043f\u043e\u043c\u0435\u0447\u0435\u043d\u043d\u044b\u0445 \u043a\u0430\u043a Read Write Execute (RWE). \u041e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0438\u0445 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x00910000, \u0435\u0449\u0435 \u043e\u0434\u043d\u0430 \u2014 0x00930000, \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0430\u044f \u2014 0x00940000 \u0438, \u043d\u0430\u043a\u043e\u043d\u0435\u0446, \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044f\u044f \u2014 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x00970000. \u0414\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u0442\u043e\u043b\u044c\u043a\u043e 3 \u0438\u0437 4 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b. \u041e\u0434\u043d\u0430\u043a\u043e, \u0442\u0440\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u043f\u0440\u044f\u0442\u0430\u0442\u044c \u0432 \u043e\u0434\u043d\u0443? \u041d\u0435\u043f\u043b\u043e\u0445\u0430\u044f \u043f\u0430\u0441\u0445\u0430\u043b\u043a\u0430.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p11.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/957\/ea3\/e6d\/957ea3e6dafac58edd7381d19b059a93.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0422\u0435\u043f\u0435\u0440\u044c \u0441\u0434\u0430\u043c\u043f\u0438\u043c \u043d\u0430\u0448\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0434\u043b\u044f \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430. \u041f\u043e\u0434\u0433\u0440\u0443\u0436\u0430\u0435\u043c <a href=\"http:\/\/low-priority.appspot.com\/ollydumpex\/\">OllyDumpEx<\/a> \u0438 \u0441\u043a\u0430\u0440\u043c\u043b\u0438\u0432\u0430\u0435\u043c \u043d\u0430\u0448\u0438 0090 \u043e\u0431\u043b\u0430\u0441\u0442\u0438. \u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0430\u043c 0x00910000 \u0438 0x00970000 \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u044e\u0442 \u0441 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u043e\u0439, \u0441\u0443\u0434\u044f \u043f\u043e \u0438\u0445 \u0440\u0430\u0437\u043c\u0435\u0440\u0443, \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c \u0441\u0435\u043a\u0446\u0438\u0439 \u0438 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0430\u043c. \u0410 \u043e\u0431\u043b\u0430\u0441\u0442\u044c \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x00950000 \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 \u043d\u0438\u0445: \u0434\u0440\u0443\u0433\u0438\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u0441\u0435\u043a\u0446\u0438\u0439, \u0434\u0440\u0443\u0433\u0438\u0435 \u0440\u0430\u0437\u043c\u0435\u0440\u044b. \u0414\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u0442\u044c, \u044d\u0442\u043e \u0442\u043e \u0441\u0430\u043c\u043e\u0435 \u0437\u043e\u043b\u043e\u0442\u043e\u0435 \u044f\u0439\u0446\u043e (\u044f \u043e\u0441\u0442\u0430\u0432\u0438\u043b \u0431\u0443\u043a\u0432\u0430\u043b\u044c\u043d\u044b\u0439 \u043f\u0435\u0440\u0435\u0432\u043e\u0434, \u0442.\u043a. \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0430\u0432\u0442\u043e\u0440 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 golden egg \u0432 \u0441\u0432\u043e\u0438\u0445 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u0430\u0445 \u2014 \u043f\u0440\u0438\u043c. \u043f\u0435\u0440\u0435\u0432.).<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p12.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/d7b\/967\/1ea\/d7b9671ea5dd104af47f1fd0dd8c3a0b.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0421\u0434\u0430\u043c\u043f\u0438\u043c \u043d\u0430\u0448 exe \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f Binary (Raw) \u0440\u0435\u0436\u0438\u043c \u0432\u043c\u0435\u0441\u0442\u043e \u0440\u0435\u0436\u0438\u043c\u0430 Rebuild, \u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0446\u0435\u043b\u043e\u0441\u0442\u043d\u043e\u0441\u0442\u044c \u0434\u0430\u043c\u043f\u0430.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p13.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/007\/bf3\/885\/007bf38855bb7f63324100387851d6e3.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0414\u0432\u0430 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u0441\u0435\u043a\u0446\u0438\u0439 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e UPX<a href=\"#f4\"><sup>[4]<\/sup><\/a><a name=\"b4\"><\/a>. \u0417\u0430\u043f\u0443\u0441\u043a upx \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442 \u044d\u0442\u043e. \u0417\u043d\u0430\u0447\u0438\u0442, \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043b\u0435\u0433\u043a\u043e \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u0442\u044c \u043d\u0430\u0448\u0435 \u044f\u0439\u0446\u043e.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p14.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/086\/6eb\/cf1\/0866ebcf1c127607feff91644d24f42a.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041d\u043e\u0432\u044b\u0439 exe \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u043d\u0430 40 \u041a\u0411 \u0431\u043e\u043b\u044c\u0448\u0435 \u0438 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u043d \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e, \u0442\u0430\u043a \u0447\u0442\u043e \u0442\u0435\u043f\u0435\u0440\u044c \u043c\u044b \u043d\u0430\u043a\u043e\u043d\u0435\u0446 \u043c\u043e\u0436\u0435\u043c \u0441\u043a\u043e\u0440\u043c\u0438\u0442\u044c \u0435\u0433\u043e IDA. \u0412\u0437\u0433\u043b\u044f\u043d\u0443\u0432 \u043d\u0430 \u0441\u0442\u0440\u043e\u043a\u0438, \u0432\u0438\u0434\u0438\u043c \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0435 \u0432\u0435\u0449\u0438.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p15.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/7e6\/ef3\/855\/7e6ef3855eea79f61f3cc386a85787ff.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u042d\u0442\u043e \u0436\u0435 HTTP \u0437\u0430\u043f\u0440\u043e\u0441. \u041f\u043e\u0445\u043e\u0436\u0435, \u044d\u0442\u0430 \u0448\u0442\u0443\u043a\u0430 \u043e\u0442\u0441\u044b\u043b\u0430\u0435\u0442\u0441\u044f \u0434\u043e\u043c\u043e\u0439 \u043c\u0430\u043c\u043e\u0447\u043a\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f POST \u0437\u0430\u043f\u0440\u043e\u0441.<\/p>\n<p>  \u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u0441\u043f\u0440\u043e\u0441\u0438\u0442\u044c \u2014 \u0430 \u043a\u0430\u043a \u0436\u0435 <abbr title=\"Command and Control Server\">C&#038;C<\/abbr> \u0441\u0435\u0440\u0432\u0435\u0440? \u041d\u0435 \u043f\u043e\u0445\u043e\u0436\u0435, \u0447\u0442\u043e\u0431\u044b \u043e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043b\u0441\u044f \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0435 \u0432 plain text \u0432\u0438\u0434\u0435. \u041f\u043e\u043c\u043d\u0438\u0442\u0435, \u044f \u043f\u0440\u043e\u0441\u0438\u043b \u0432\u0430\u0441 \u043d\u0435 \u0437\u0430\u0431\u044b\u0432\u0430\u0442\u044c \u043f\u0440\u043e \u0441\u0435\u043a\u0446\u0438\u044e \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432? \u0417\u0430\u0433\u043b\u044f\u043d\u0435\u043c \u0432 \u0441\u0435\u043a\u0446\u0438\u044e \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 \u043d\u0430\u0448\u0435\u0433\u043e golden_egg.exe<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p16.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/e3a\/5bf\/73d\/e3a5bf73d7f9e4c198b397ef068d5ab9.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0412\u0443\u0430\u043b\u044f. http:\/\/31.207.6.161. \u042d\u0442\u043e \u043f\u0440\u0435\u043a\u0440\u0430\u0441\u043d\u043e \u2014 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u043d\u0430\u043c \u0430\u0434\u0440\u0435\u0441 \u0432 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u043c \u0432\u0438\u0434\u0435. <abbr title=\"\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u0441\u043e\u043a\u0440\u044b\u0442\u0438\u0435\">Security through obscurity<\/abbr> \u043d\u0430\u043d\u043e\u0441\u0438\u0442 \u043e\u0447\u0435\u0440\u0435\u0434\u043d\u043e\u0439 \u043e\u0442\u0432\u0435\u0442\u043d\u044b\u0439 \u0443\u0434\u0430\u0440.<\/p>\n<p>  \u041d\u0430\u0432\u0435\u0440\u043d\u043e\u0435 \u0432\u0430\u043c \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u0447\u0442\u043e \u0436\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442, \u043a\u043e\u0433\u0434\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435. \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c:<\/p>\n<p>  \u0412\u043e \u0432\u0440\u0435\u043c\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438, \u043e\u043d\u043e \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043c\u043e\u0439 <a href=\"http:\/\/technet.microsoft.com\/en-us\/sysinternals\/bb896653.aspx\">Process Explorer<\/a> \u0438 \u043d\u0430 \u043b\u044e\u0431\u044b\u0435 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0434\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440 \u0437\u0430\u0434\u0430\u0447 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435\u043c \u00ab\u0434\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440 \u0437\u0430\u0434\u0430\u0447 \u0431\u044b\u043b \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u043c\u00bb \u043f\u0435\u0440\u0435\u0434 \u0442\u0435\u043c \u043a\u0430\u043a \u043f\u043e\u0447\u0442\u0438 \u043c\u0433\u043d\u043e\u0432\u0435\u043d\u043d\u043e \u0437\u0430\u043a\u0440\u044b\u0442\u044c\u0441\u044f. \u042f \u0445\u043e\u0442\u0435\u043b \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442, \u043d\u043e \u043e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c, \u0447\u0442\u043e \u044f \u043d\u0435 \u043d\u0430\u0441\u0442\u043e\u043b\u044c\u043a\u043e \u0431\u044b\u0441\u0442\u0440. \u041e\u0431\u0440\u0430\u0442\u0438\u0432\u0448\u0438\u0441\u044c \u043a Immunity, \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u00abgolden_egg.exe\u00bb \u0443\u0436\u0435 \u0437\u0430\u0432\u0435\u0440\u0448\u0438\u043b\u0430\u0441\u044c. \u0412\u0437\u0430\u043c\u0435\u043d \u2014 \u043a\u0430\u043a\u0430\u044f-\u0442\u043e \u0434\u0440\u0443\u0433\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c \u00abzpNvNKSi.exe\u00bb, \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u0430\u044f \u0438\u0437 \u0442\u0435\u043c\u043f\u043e\u0432\u043e\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438. \u0421\u0440\u0430\u0432\u043d\u0438\u0432\u0430\u0435\u043c \u0445\u044d\u0448\u0438 \u2014 \u0438, \u043f\u043e\u0445\u043e\u0436\u0435, \u043e\u043d\u0438 \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u044b:<br \/>  <img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/4e6\/86d\/91a\/4e686d91af47e65e12f10e85192a3213.png\" alt=\"image\"\/><\/p>\n<p>  (\u041f\u043e\u043d\u0440\u0430\u0432\u0438\u043b\u0441\u044f \u043c\u043e\u0439 \u0445\u044d\u0448\u0435\u0440? \u0421\u043a\u0430\u0447\u0430\u0442\u044c \u043c\u043e\u0436\u043d\u043e <a href=\"http:\/\/gironsec.com\/code\/MD5%20Hasher.7z\">\u0442\u0443\u0442 \u0431\u0435\u0437 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0438 \u0441\u043c\u0441<\/a>)<\/p>\n<p>  \u0420\u0435\u043a\u043b\u0430\u043c\u043d\u0430\u044f \u043f\u0430\u0443\u0437\u0430 \u043e\u043a\u043e\u043d\u0447\u0435\u043d\u0430, \u0442\u0435\u043f\u0435\u0440\u044c \u043f\u043e\u043d\u044f\u0442\u043d\u043e \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u2014 \u043e\u0442\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0434\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440 \u0437\u0430\u0434\u0430\u0447, \u0443\u0431\u0438\u0432\u0430\u0435\u0442 \u00ab\u043d\u0435\u0443\u0433\u043e\u0434\u043d\u044b\u0435\u00bb \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0438\u0437 \u0442\u0435\u043c\u043f\u043e\u0432\u043e\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438. \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 msconfig \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 2 \u043d\u043e\u0432\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0438 \u0432 \u0430\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0435:<br \/>  <img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/dbd\/0f5\/ddd\/dbd0f5ddd7dd3355ea7d8a3155137e37.png\" alt=\"image\"\/><\/p>\n<p>  \u042f \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043b \u043e\u0431\u0430 \u0444\u0430\u0439\u043b\u0430 \u0438 \u043e\u043d\u0438 \u0431\u0430\u0439\u0442 \u0432 \u0431\u0430\u0439\u0442 \u0441\u043e\u0432\u043f\u0430\u043b\u0438 \u0441 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043e\u0439.<\/p>\n<p>  \u0410\u0442\u0442\u0430\u0447\u0438\u043c\u0441\u044f \u043a \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Immunity, \u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u043f\u0430\u043c\u044f\u0442\u044c \u0438 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u043e\u0442\u043e\u043a\u043e\u0432 (\u043d\u0430\u0436\u0430\u0442\u0438\u0435\u043c \u043a\u043b\u0430\u0432\u0438\u0448\u0438 \u00abt\u00bb) \u2014 \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043c\u043d\u043e\u0433\u043e\u043f\u043e\u0442\u043e\u0447\u043d\u0430\u044f. \u042f \u043d\u0430\u0441\u0447\u0438\u0442\u0430\u043b 12 \u043f\u043e\u0442\u043e\u043a\u043e\u0432.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p20.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/a63\/66c\/94b\/a6366c94bf6e2fc48cb8e4c66b4c33d2.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u044e, \u0447\u0442\u043e \u043a\u0430\u0436\u0434\u044b\u0439 \u043f\u043e\u0442\u043e\u043a \u0441\u043b\u0435\u0434\u0438\u0442, \u043d\u0435 \u0443\u0431\u0438\u0442 \u043b\u0438 \u043e\u0434\u0438\u043d \u0438\u0437 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u0442\u043e\u043a\u043e\u0432. \u041e\u0434\u043d\u0430\u043a\u043e, \u043f\u0440\u0438\u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0432 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0437\u0430\u0433\u043b\u044f\u043d\u0443\u0442\u044c \u0432 \u0435\u0433\u043e \u043f\u0430\u043c\u044f\u0442\u044c, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f Process Explorer. \u0410\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u0441\u0442\u0440\u043e\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0431\u044b\u043b\u0438 \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u044b \u0432 IDA:<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p21.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/36a\/c54\/89b\/36ac5489b21677b18bae7e23e3159e65.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0412\u043d\u0435\u0437\u0430\u043f\u043d\u043e. \u042f \u0434\u0443\u043c\u0430\u044e, \u0447\u0442\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u044d\u0442\u0438 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u0438 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0438\u0445, \u0435\u0441\u043b\u0438 \u043e\u043d\u0438 \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u044b. \u042d\u0442\u043e \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442 \u0442\u043e, \u043f\u043e\u0447\u0435\u043c\u0443 \u044f \u043d\u0435 \u043c\u043e\u0433 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f Process Explorer&#8217;\u043e\u043c, \u043f\u043e\u043a\u0430 \u0431\u044b\u043b\u0430 \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u0430 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430. \u0412\u043f\u043e\u043b\u043d\u0435 \u0441\u0435\u0431\u0435 \u0441\u043f\u043e\u0441\u043e\u0431 \u0443\u0441\u043b\u043e\u0436\u043d\u0438\u0442\u044c \u0437\u0430\u043f\u0443\u0441\u043a \u043b\u044e\u0431\u043e\u0439 \u0438\u0437 \u044d\u0442\u0438\u0445 \u0443\u0442\u0438\u043b\u0438\u0442, \u043c\u043e\u043c\u0435\u043d\u0442\u0430\u043b\u044c\u043d\u043e \u0443\u0431\u0438\u0432\u0430\u044f \u0438\u0445. \u0412 \u0441\u043f\u0438\u0441\u043a\u0435 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 regedit, LordPE, Wireshark, regmon, filemon, procmon, tcpview, taskmgr \u0438 \u0434\u0430\u0436\u0435 Windows Defender. \u0421\u0443\u0440\u043e\u0432\u043e. \u041f\u0440\u0430\u0432\u0434\u0430, \u044f \u043d\u0435 \u0432\u0438\u0436\u0443 \u0434\u0432\u043e\u044e\u0440\u043e\u0434\u043d\u043e\u0433\u043e \u0431\u0440\u0430\u0442\u0430 Process Explorer&#8217;a \u2014 <a href=\"http:\/\/processhacker.sourceforge.net\/\">Process Hacker<\/a>.<\/p>\n<p>  \u0412\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u044f\u0441\u044c \u043a <s>\u043d\u0430\u0448\u0438\u043c \u0431\u0430\u0440\u0430\u043d\u0430\u043c<\/s> \u043d\u0430\u0448\u0435\u0439 \u043f\u0430\u043c\u044f\u0442\u0438: \u043e\u0447\u0435\u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043b\u0438\u0431\u043e \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u0443\u0435\u0442 \u0441\u0442\u0440\u043e\u043a\u0438, \u043b\u0438\u0431\u043e \u0434\u0432\u0430\u0436\u0434\u044b \u043f\u0430\u043a\u0443\u0435\u0442 \u0438\u0445. \u0412 \u043b\u044e\u0431\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435, \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c\u0441\u044f.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p22.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/cff\/941\/ecc\/cff941ecc1f2af974f2e03c256da82ca.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0412\u044b\u043f\u043e\u043b\u043d\u0438\u0432 \u043f\u043e\u0438\u0441\u043a \u043f\u043e \u043f\u0430\u043c\u044f\u0442\u0438 \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0441\u0442\u0440\u043e\u043a \u0432 Unicode \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u043a\u0435, \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u0441\u0442\u0440\u043e\u043a\u0430 \u00abtaskmgr\u00bb \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u0441\u0435\u043a\u0446\u0438\u0438 .data. \u041d\u0435\u0443\u0436\u0435\u043b\u0438 IDA \u0441\u043e\u0432\u0440\u0430\u043b\u0430 \u043d\u0430\u0441\u0447\u0435\u0442 \u0441\u0442\u0440\u043e\u043a? \u041d\u0435 \u0441\u043e\u0432\u0441\u0435\u043c. \u041f\u0440\u043e\u0431\u0443\u0435\u043c \u0435\u0449\u0435 \u0440\u0430\u0437, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u043c\u0435\u0434\u043b\u0435\u043d\u043d\u044b\u0439 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u043f\u043e\u0438\u0441\u043a \u2014 \u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u0431\u043e\u043b\u044c\u0448\u0435 \u0441\u0442\u0440\u043e\u043a. \u0412\u0438\u0434\u0438\u043c\u043e, IDA \u043d\u0435 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 Unicode \u0441\u0442\u0440\u043e\u043a\u0438 \u043f\u0440\u0438 \u043f\u043e\u0438\u0441\u043a\u0435 \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e. \u041c\u043e\u0436\u043d\u043e \u043f\u043e\u043c\u0435\u043d\u044f\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043f\u043e\u0438\u0441\u043a\u0430 \u0432 IDA, \u043d\u0430\u0436\u0430\u0432 Alt+A \u0438 \u0432\u044b\u0431\u0440\u0430\u0432 \u043f\u0443\u043d\u043a\u0442 Unicode.<br \/>  <img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/b9f\/2d8\/050\/b9f2d8050f4b57d877e2ffdd86a01600.png\" alt=\"image\"\/><\/p>\n<p>  \u0410\u043d\u0430\u043b\u0438\u0437 \u043d\u043e\u0432\u044b\u0445 \u0441\u0442\u0440\u043e\u043a \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043f\u0435\u0440\u0435\u0434 \u043d\u0430\u043c\u0438 \u0431\u043e\u043b\u044c\u0448\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p23.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/8b0\/ffc\/0bb\/8b0ffc0bb6f9a357e39b62726b08c421.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0418\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e.<\/p>\n<p>  \u0423\u0447\u0438\u0442\u044b\u0432\u0430\u044f \u0442\u043e, \u0447\u0442\u043e \u043d\u0430\u0448\u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c Wireshark \u0431\u0443\u0434\u0443\u0442 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043e\u0439, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043d\u0430\u0439\u0442\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u044e, \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0449\u0443\u044e \u0437\u0430 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c, \u0438 \u043f\u0440\u043e\u043f\u0430\u0442\u0447\u0438\u0442\u044c \u0435\u0451. \u041a\u0430\u043a \u044d\u0442\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c? \u041f\u043e\u0438\u0449\u0435\u043c \u0432\u044b\u0437\u043e\u0432 api TerminateProcess().<\/p>\n<p>  \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f IDA, \u044d\u0442\u043e \u043d\u0435 \u0442\u0430\u043a \u0443\u0436 \u0441\u043b\u043e\u0436\u043d\u043e. \u0412 \u0441\u0435\u043a\u0446\u0438\u0438 \u0438\u043c\u043f\u043e\u0440\u0442\u0430 \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u0441\u0441\u044b\u043b\u043a\u0443 \u043d\u0430 TerminateProcess.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p24.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/f8a\/f6f\/16d\/f8af6f16d95ec8bd8b30e04fee9eb70f.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u043d\u0435\u043a\u0438\u0439 \u0446\u0438\u043a\u043b, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u043e\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u0442 \u0438\u043c\u0435\u043d\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0432\u044b\u0437\u043e\u0432\u0430 CreateToolhelp32Snapshot \u0438, \u0435\u0441\u043b\u0438 \u043e\u043d\u0438 \u0443\u0434\u043e\u0432\u043b\u0435\u0442\u0432\u043e\u0440\u044f\u044e\u0442 \u043d\u0435\u043a\u043e\u043c\u0443 \u0443\u0441\u043b\u043e\u0432\u0438\u044e, \u0437\u0430\u0432\u0435\u0440\u0448\u0430\u0435\u0442 \u0438\u0445. \u041f\u043e\u0445\u043e\u0436\u0435, \u0447\u0442\u043e \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043c\u0435\u043d \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u0432\u0438\u0434\u0435\u043b\u0438 \u0440\u0430\u043d\u0435\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0438\u043c\u0435\u043d\u043d\u043e \u0442\u0443\u0442.<\/p>\n<p>  \u0418\u0442\u0430\u043a, \u0447\u0442\u043e \u0436\u0435 \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u044f\u0442\u044c? \u041c\u044b \u043c\u043e\u0436\u0435\u043c \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u043b\u043e\u0433\u0438\u043a\u0443 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0442\u0430\u043a, \u0447\u0442\u043e \u0432\u043c\u0435\u0441\u0442\u043e \u0432\u044b\u0437\u043e\u0432\u0430 TerminateProcess \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442\u044c\u2026 \u0430 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442\u044c. \u041f\u0440\u043e\u0432\u0435\u0440\u0438\u0432 \u043f\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b Xref-\u043e\u043c (eXternal REFerences), \u043c\u044b \u0432\u0438\u0434\u0438\u043c\u043e, \u0447\u0442\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0438\u0437 \u043f\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b 0x00401D2A. \u0412 \u043d\u0435\u0439 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f <abbr title=\"\u043f\u0435\u0440\u0435\u0445\u043e\u0434 \u043d\u0430 \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u0439 \u0430\u0434\u0440\u0435\u0441, \u0435\u0441\u043b\u0438 \u0444\u043b\u0430\u0433 \u043d\u0443\u043b\u044f \u0441\u0431\u0440\u043e\u0448\u0435\u043d\">jnz<\/abbr>, \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u044e\u0449\u0430\u044f \u0443\u0441\u043b\u043e\u0432\u043d\u044b\u0439 \u043f\u0435\u0440\u0435\u0445\u043e\u0434 \u043d\u0430 \u043f\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443, \u043f\u0440\u043e\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u044e\u0449\u0443\u044e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u0438 \u0437\u0430\u0432\u0435\u0440\u0448\u0430\u044e\u0449\u0443\u044e \u0438\u0445. \u0415\u0441\u043b\u0438 \u043c\u044b \u0441\u043c\u043e\u0436\u0435\u043c \u0442\u0430\u043a \u043f\u0440\u043e\u043f\u0430\u0442\u0447\u0438\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443, \u0447\u0442\u043e \u044d\u0442\u0430 \u043f\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c\u0441\u044f, \u043c\u044b \u0441\u043c\u043e\u0436\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043b\u044e\u0431\u044b\u0435 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u0438\u0437 \u0447\u0435\u0440\u043d\u043e\u0433\u043e \u0441\u043f\u0438\u0441\u043a\u0430.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p25.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/0f5\/5bb\/3be\/0f55bb3be87e09e5e9c529fed90de700.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0417\u0430\u0441\u0443\u0447\u0438\u043c \u0440\u0443\u043a\u0430\u0432\u0430. \u042f \u043f\u0440\u0435\u0434\u043f\u043e\u0447\u0438\u0442\u0430\u044e \u043f\u0430\u0442\u0447\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Immunity \u2014 \u044d\u0442\u043e \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e, \u0434\u0430 \u0438 \u0437\u043d\u0430\u043a\u043e\u043c \u044f \u044d\u0442\u0438\u043c \u043f\u043e\u043b\u0443\u0447\u0448\u0435. \u041d\u0430\u0447\u043d\u0435\u043c \u0441 \u043f\u043e\u0438\u0441\u043a\u0430 \u043f\u0440\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0432 \u043d\u0430\u0448\u0435\u043c exe. \u0418\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f \u0441 \u0443\u0441\u043b\u043e\u0432\u043d\u044b\u043c \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u043e\u043c \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x00401D4E. <abbr title=\"\u0417\u0430\u043f\u043e\u043b\u043d\u044f\u0435\u043c nop (No OPeration) \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f\u043c\u0438\">\u041d\u043e\u043f\u0430\u0435\u043c<\/abbr> \u0432\u0441\u044e \u043e\u0431\u043b\u0430\u0441\u0442\u044c \u2014 \u0442\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043c\u044b \u0441\u0440\u0430\u0437\u0443 \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u043c \u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044e <abbr title=\"\u0432\u043e\u0432\u0440\u0430\u0442 \u0438\u0437 \u043f\u043e\u0434\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\">ret<\/abbr> \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0430 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x00401D2C, \u0433\u0434\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u043b\u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u0435 \u043d\u0435\u0443\u0433\u043e\u0434\u043d\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p26.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/917\/1ff\/401\/9171ff4012e0b6f1d7fa31ffb0a8ba19.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0412\u043e\u0437\u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0438 \u043f\u0440\u043e\u0431\u0443\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u043e\u0434\u043d\u0443 \u0438\u0437 \u0437\u0430\u043f\u0440\u0435\u0449\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c. \u041f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432\u0441\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442, \u0440\u0430\u0437 regedit \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043b\u0441\u044f, \u0430 Process Explorer \u043d\u0435 \u0431\u044b\u043b \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p27.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/6d2\/9ea\/3fd\/6d29ea3fd6dff011b1c7976fc868950f.png\" alt=\"image\"\/><\/a><br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p28.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/c01\/1b5\/e0a\/c011b5e0a69e6219007e127a10a8dabd.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f Wireshark, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0432 \u0444\u0430\u0439\u043b\u043e\u0432\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0438 \u0440\u0435\u0435\u0441\u0442\u0440\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f procmon, \u0434\u0430 \u0438 \u0432\u043e\u043e\u0431\u0449\u0435 \u043f\u043e\u0438\u0433\u0440\u0430\u0442\u044c\u0441\u044f \u0441 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0435\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043e\u0439 \u0432 Process Explorer.<\/p>\n<p>  Process Explorer \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u0431\u044b\u043b \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d SYN<a href=\"#f5\"><sup>[5]<\/sup><\/a><a name=\"b5\"><\/a> \u043f\u0430\u043a\u0435\u0442 \u043a \u043d\u0430\u0448\u0435\u043c\u0443 C&#038;C \u0441\u0435\u0440\u0432\u0435\u0440\u0443 (\u0434\u0430, \u0442\u043e\u043c\u0443 \u0441\u0430\u043c\u043e\u043c\u0443, \u0430\u0434\u0440\u0435\u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043c\u044b \u0432\u044b\u0442\u0430\u0449\u0438\u043b\u0438 \u0438\u0437 \u0441\u0435\u043a\u0446\u0438\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432) \u043d\u0430 80\u0439 \u043f\u043e\u0440\u0442.<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p29.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/4e6\/cad\/d42\/4e6cadd42d949a798a48decacd151fdc.png\" alt=\"image\"\/><\/a><\/p>\n<p>  Wireshark \u0434\u0430\u0435\u0442 \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u0431\u043e\u043b\u044c\u0448\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u0422\u0443\u0442 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e SYN \u043f\u0430\u043a\u0435\u0442\u044b, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0435 \u043d\u0430\u0448\u0435\u043c\u0443 HTTP C&#038;C \u0441\u0435\u0440\u0432\u0435\u0440\u0443, \u043d\u043e \u0435\u0449\u0435 \u0438 \u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e DNS \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e \u0441\u0442\u0440\u0430\u043d\u043d\u044b\u0445 \u0434\u043e\u043c\u0435\u043d\u0430\u0445. \u0427\u0442\u043e \u0434\u0430\u043b\u044c\u0448\u0435?<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p30.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/d74\/b45\/c6a\/d74b45c6a272fa6f4cd51f096f07f628.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u0421\u0435\u0440\u0432\u0435\u0440 \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442 \u0441\u0442\u0443\u0447\u0430\u0442\u044c\u0441\u044f \u0434\u043e\u043c\u043e\u0439, \u043d\u043e \u043c\u043d\u0435 \u044d\u0442\u043e \u043d\u0435 \u043d\u0443\u0436\u043d\u043e. \u042f \u043c\u043e\u0433 \u0431\u044b \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u0435\u043a\u0446\u0438\u044e \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 \u0432 \u043d\u0430\u0448\u0435\u043c \u00abgolden_egg.exe\u00bb \u0442\u0430\u043a, \u0447\u0442\u043e\u0431\u044b \u0437\u0430\u0432\u0435\u0440\u043d\u0443\u0442\u044c \u0435\u0433\u043e \u043d\u0430 \u043c\u043e\u0439 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 HTTP \u0441\u0435\u0440\u0432\u0435\u0440 \u0438 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u044c \u0435\u0433\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c, \u043d\u043e \u044d\u0442\u043e \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0442\u0440\u0443\u0434\u043e\u0437\u0430\u0442\u0440\u0430\u0442\u043d\u043e. \u0423 \u043d\u0430\u0441 \u0443\u0436\u0435 \u0435\u0441\u0442\u044c \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043c\u043d\u043e\u0433\u043e\u0435: C&#038;C \u0441\u0435\u0440\u0432\u0435\u0440, \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430, \u0435\u0451 HTTP \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u0430, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043c\u044b \u0437\u043d\u0430\u0435\u043c \u043e \u0435\u0451 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0438. \u0414\u0435\u043b\u043e \u0437\u0430\u043a\u0440\u044b\u0442\u043e. \u0415\u0449\u0435 \u043e\u0434\u043d\u0430 0day \u0441\u0440\u0435\u0434\u0430 \u043f\u0440\u0438\u0448\u043b\u0430 \u0438 \u0443\u0448\u043b\u0430.<\/p>\n<p>  \u0415\u0441\u043b\u0438 \u0432\u0430\u043c \u0445\u043e\u0447\u0435\u0442\u0441\u044f \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441 \u0438 \u043f\u043e\u0432\u043e\u0437\u0438\u0442\u044c\u0441\u044f \u0441 \u043d\u0438\u043c, \u0442\u043e \u043c\u043e\u0436\u0435\u0442\u0435 \u0432\u0437\u044f\u0442\u044c \u0435\u0433\u043e <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/0daywednesday.7z\">\u0442\u0443\u0442<\/a>. \u041f\u0430\u0440\u043e\u043b\u044c \u00abinfected\u00bb.<\/p>\n<p>  \u041d\u0430\u0434\u0435\u044e\u0441\u044c, \u044d\u0442\u043e \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u043e\u043a\u0430\u0436\u0435\u0442\u0441\u044f \u0432\u0430\u043c \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c. \u0423\u0434\u0430\u0447\u043d\u043e\u0433\u043e \u043a\u0440\u044f\u043a\u0438\u043d\u0433\u0430!<\/p>\n<p>  \u0410\u0432\u0442\u043e\u0440 <a href=\"http:\/\/www.gironsec.com\/blog\/about-me\/\">Joe Giron<\/a><\/p>\n<p>  <a href=\"http:\/\/www.gironsec.com\/blog\/2013\/12\/0day-wednesday-newish-malware-that-came-across-my-desk\/\">\u041e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438<\/a><\/p>\n<p>  <a name=\"f1\"><\/a>1. <a href=\"#b1\">\u2191<\/a> 0day (\u0430\u043d\u0433\u043b. zero day) \u2014 \u0442\u0435\u0440\u043c\u0438\u043d, \u043e\u0431\u043e\u0437\u043d\u0430\u0447\u0430\u044e\u0449\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b, \u043f\u0440\u043e\u0442\u0438\u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0435\u0449\u0435 \u043d\u0435 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u044b \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u0435 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u044b \u0438\u043b\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u044b.<br \/>  <a name=\"f2\"><\/a>2. <a href=\"#b2\">\u2191<\/a> IDA Pro Disassembler (\u0430\u043d\u0433\u043b. Interactive DisAssembler) \u2014 \u0438\u043d\u0442\u0435\u0440\u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0439 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0448\u0438\u0440\u043e\u043a\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0440\u0435\u0432\u0435\u0440\u0441-\u0438\u043d\u0436\u0438\u043d\u0438\u0440\u0438\u043d\u0433\u0430.<br \/>  <a name=\"f3\"><\/a>3. <a href=\"#b3\">\u2191<\/a> \u041f\u0430\u043a\u0435\u0442 Microsoft Foundation Classes (MFC) \u2014 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 C++, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u0430\u044f Microsoft \u0438 \u043f\u0440\u0438\u0437\u0432\u0430\u043d\u043d\u0430\u044f \u043e\u0431\u043b\u0435\u0433\u0447\u0438\u0442\u044c \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0443 GUI-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u0434\u043b\u044f Microsoft Windows \u043f\u0443\u0442\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0431\u043e\u0433\u0430\u0442\u043e\u0433\u043e \u043d\u0430\u0431\u043e\u0440\u0430 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u0447\u043d\u044b\u0445 \u043a\u043b\u0430\u0441\u0441\u043e\u0432.<br \/>  <a name=\"f4\"><\/a>4. <a href=\"#b4\">\u2191<\/a> UPX (the Ultimate Packer for eXecutables) \u2014 \u0443\u043f\u0430\u043a\u043e\u0432\u0449\u0438\u043a \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432, \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0449\u0438\u0439 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c \u0438 \u0444\u043e\u0440\u043c\u0430\u0442\u043e\u0432 \u0444\u0430\u0439\u043b\u043e\u0432.<br \/>  <a name=\"f5\"><\/a>5. <a href=\"#b5\">\u2191<\/a> SYN \u2014 \u043f\u0430\u043a\u0435\u0442, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0439 \u043a\u043b\u0438\u0435\u043d\u0442\u043e\u043c \u0441\u0435\u0440\u0432\u0435\u0440\u0443 \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f. \t\t\t<\/p>\n<div class=\"clear\"><\/div>\n<\/p><\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"http:\/\/habrahabr.ru\/post\/207042\/\"> http:\/\/habrahabr.ru\/post\/207042\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div class=\"content html_format\"> \t\t\t\u041a\u0442\u043e-\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u043d\u0430\u0437\u0432\u0430\u0442\u044c \u044d\u0442\u043e \u0431\u0435\u0437\u0443\u043c\u0438\u0435. \u0414\u043b\u044f \u043c\u0435\u043d\u044f \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u0440\u0435\u0434\u0430.<\/p>\n<p>  \u041e\u043d\u0430 \u0434\u043e\u0441\u0442\u0430\u043b\u0430\u0441\u044c \u043c\u043d\u0435 \u0432\u0447\u0435\u0440\u0430, \u0438 \u044f \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0441\u044f \u0441 \u043d\u0435\u0439 \u0441\u0435\u0433\u043e\u0434\u043d\u044f. \u041e\u043d\u0430 \u043f\u0440\u0438\u0448\u043b\u0430 \u0432 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u043a java \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0443 \u043e\u0442 \u0441\u0442\u0430\u0440\u043e\u0433\u043e 2012 <abbr title=\"Common Vulnerabilities and Exposures\">CVE<\/abbr> (SecurityManager, \u044f \u043f\u043e\u043b\u0430\u0433\u0430\u044e). \u042f \u043d\u0430\u0437\u044b\u0432\u0430\u044e \u0435\u0451 0day<a href=\"#f1\"><sup>[1]<\/sup><\/a><a name=\"b1\"><\/a>, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0435\u0451 \u043d\u0435\u0442\u0443 \u0432 \u0431\u0430\u0437\u0430\u0445 <a href=\"https:\/\/www.virustotal.com\/\">VirusTotal<\/a> \/ <a href=\"https:\/\/malwr.com\/\">Malwr<\/a> \u043d\u0438 \u0432 \u043a\u0430\u043a\u043e\u043c \u0432\u0438\u0434\u0435 \u2014 \u043d\u0438 \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u043c, \u043d\u0438 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u043c.<\/p>\n<p>  \u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0432 IDA<a href=\"#f2\"><sup>[2]<\/sup><\/a><a name=\"b2\"><\/a> \u0437\u0430\u0432\u0435\u0440\u0448\u0430\u0435\u0442\u0441\u044f \u043e\u0448\u0438\u0431\u043a\u043e\u0439:<br \/>  <a href=\"http:\/\/www.gironsec.com\/blog\/wp-content\/uploads\/2013\/12\/p1.png\"><img decoding=\"async\" src=\"http:\/\/habr.habrastorage.org\/post_images\/9f0\/b9e\/1a6\/9f0b9e1a65cc945454d38d4f949ff6cd.png\" alt=\"image\"\/><\/a><\/p>\n<p>  \u041f\u043e\u0445\u043e\u0436\u0435, \u0447\u0442\u043e \u0442\u043e\u0442 \u0437\u0430\u0441\u0440\u0430\u043d\u0435\u0446, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u044d\u0442\u043e \u0434\u0435\u043b\u0430\u043b, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u0437\u043d\u0430\u043b, \u0447\u0442\u043e \u043d\u0435\u043a\u0442\u043e \u0432\u0440\u043e\u0434\u0435 \u043c\u0435\u043d\u044f \u043f\u043e\u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 \u0430\u043d\u0430\u043b\u0438\u0437. <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-207042","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/207042","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=207042"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/207042\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=207042"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=207042"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=207042"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}