@Danilich2

Пишу научную статью, интересует вопрос: Какие данные можно узнать о вирусной программе которая есть на компьютере?

0

quwy

Любые (это если коротко).

Добавлено через 51 секунду
Что, чем, и как вы собираетесь получать? Какие знания и навыки для этого имеются?

0

@Danilich2

Интересует что именно можно узнать из самой программы. Например, есть вирусная программа на компьютере, как можно узнать, когда она была создана, какой язык программирования, ее программный код и так далее.

0

quwy

Почти все можно, но для всего нужны соответствующие знания и навыки. И это объем информации несколько больший, чем можно вместить в паре-тройке ответов на форуме.

Задавайте более конкретные вопросы.

0

@Danilich2

На моем компьютере обнаружена вирусная программа по сбору данных:
1. Как узнать, на каком языке программирования написана вирусная программа? (какие программы для этого нужно применять?)
2. Как посмотреть программный код вирусной программы? (какие программы для этого нужно применять)
3. Можно ли узнать, как вирусная программа попала на мой компьютер?
4. По данным из вирусной программы, можно ли узнать место ее создания?

П.С. Заранее извиняюсь, если вопрос глупый или некорректный, я в программировании мало что понимаю, а в интернете то нет инфы, то написано непонятно.

0

Dragokas

Вам это на сколько подробно нужно?
Статья в какой сфере - юридическая, техническая, журналистика ... ?
И для какой аудитории / издания?

0

@Danilich2

Юридическая научная статья, но больше всего интересует именно сам механизм по работе с вирусной программой (какие данные можно с нее получить следователю например).

0

Dragokas

Юридическая / место создания... Но цель статьи какая?
Если я правильно понимаю - выйти на конкретное лицо и собрать против него доказательную базу?

Даже если бы вы хорошо разбирались в одном из классических языков, этого все равно недостаточно,
чтобы толково разобраться в теме и понять большинство аналитических отчётов от агентств, занимающихся
расследованием инцидентов в сфере компьютерной криминалистики. Необходимы еще и знания в особенностях
функционирования ОС, работы телеметрии, сетевого оборудования и низкоуровневого программирования...

Именно поэтому я спрашивал, для какой аудитории предназначена ваша статья, т.к. читатели вероятно
тоже не смогут совладать со слишком специфической терминологией. Например, для киберполиции
большинство терминов должны быть предельно понятны.

В целом начало расследования очень сильно зависит от того,
- какого рода это вредоносное ПО (да, говорить "вирус" - это не правильно).
Почитайте про терминологию: https://encyclopedia.kaspersky... ification/
- каким образом оно было выявлено?
- какие защитные решения и политики есть в организации, SOC и DLP системы.
Это позволяет быстро сориентироваться по логам системы, как и откуда произошла атака.
Примеры: https://habr.com/ru/company/so... og/510736/

В целом, вот один из вариантов международно-признанной классификации векторов атаки и вредоносного действия:
https://attack.mitre.org/

Также, по масштабу, это могут быть:
- целенаправленные атаки (например, на конкретную организацию)
- масштабную, против целых стран.

Также, это могут быть
- внешние
- внутренние, допустим, один из админов при увольнении обиделся, и решил оставить подарок,
что разумеется сильно сужает область поиска и увеличивает шансы в поимке злоумышленника.

Для широкомасштабных и длительных атак, чаще всего имеет место быть высокий уровень подготовки злоумышленника.
Поэтому задача по вычислению таких групп по силам только международному сообществу.

Там в дальнейшем ячейку палят через недостаточную анонимность соучастников, а также вычисляют через финансовый анализ.

Не лучший пример, но первое что попалось: https://habr.com/ru/company/group-ib/blog/457592/
Напишите, сколько % из написанного, вы поняли
В конкретном случае: Jump lists, prefetch и история браузера - те самые цифровые отпечатки,
по которым отследили путь заражения до верхнего уровня - email-а с зараженным файлом.

Email можно отправить откуда угодно, подменить адресата и IP через VPN и пр.,
вплоть до того, чтобы получить несанкционированный доступ к одному из ПК
внутри корпоративной сети и разослать Email-ы с легальной ЭЦП по внутренней сети.

Следовательно, дальше проследить адресата не удастся.
Если только вредитель не будет на вот столько необразованным: https://habr.com/ru/post/142192/

Существует тонкая грань между сбором данных во вред и в полезных целях
(например, для предоставления более релевантной информации в рекламных заголовках,
сбор данных об ошибках и оборудовании для улучшения работы программы на конкретных конфигурациях).

Т.е. здесь еще вопрос, почему вы считаете что она вредоносная?

Бывает и так, что:
- разработчик добавляет нехороший функционал через какое-то время.
Легальная программа часто подписывается ЭЦП. По ЭЦП у CA (Certificate Authority) есть точный адрес
разработчика. Но никто в здравом уме не будет так палиться.
- сертификат крадут
- ломают саму машину разработчика и встраивают вредоносную нагрузку.
- разработчик сам по неосторожности, ловит заразу, которая заражает его продукты.

Да, можно, см. VirusTotal - вкладка Details. Такая информация добавляется к бинарю в момент компиляции, но ее можно подменить.
Также можно примерно оценить по дате первого Submission (т.е. когда первый раз файл залили на VT).

Можно. Простейший вариант, PeID. Или тоже самое в VirusTotal, вкладка Details.
Только эту инфу легко подменить.

С помощью декомпилятора. Наиболее распространенный - IDA, либо ILSpy для языков Dot.NET
Но сперва с программы чаще всего придётся снять:
- упаковщик (это когда исполняемая часть кода сжимается)
- криптор (когда шифруется, и дешифровка выполняется в момент непосредственного выполнения программы)
- обфускацию (когда намеренно запутывается структура программы, переименовывается все что возможно, перед моментом самой компиляции)
Если используется что-то нестандартное, самописное и с испорченными сигнатурами заголовков для усложнения идентификации, то придётся поломать голову.

И только после этого, будет доступен статический анализ по исходному коду, в большинстве случаев не вполне точно расшифрованному
и с потерянными именами функций и переменных. Но опытным аналитикам достаточно видеть ассемблерный листинг, вместо исходника.

Часто бывает что программа расшифровывает себя несколько раз, собирает данные, отправляет их, и на последней стадии выкачивает из сети новый модуль,
а сама самоудаляется, так что проанализировать ее действия не представляется возможным за отсутствием изначального дроппера, либо наоборот,
дроппер есть, но сайт с полезной нагрузкой более неактивен.

Поэтому вирусню исследуют динамически, выполняя в пошаговом режиме (через программу-отладчик) или похожее ПО,
работающее внутри песочницы или изолированной машины.
В антивирусных лабораториях используются собственные программные комплексы, выполняющие большинство рутинной работы самостоятельно или в полу-ручном режиме.
Работает это так: в системе запускается неизвестная программа и комплекс перехватывает все ее действия.
В итоге получается аналитический отчёт, похожий на то, что нам могут предоставить публичные сервисы, подобные этим:
- https://www.hybrid-analysis.co... 325a61ad1b
- https://app.any.run/tasks/c120... 60163f62e/
плюс стек из сотен тысяч API-функций, вызываемых программой, применяя спец. фильтры к которым, можно вручную проанализировать, что конкретно делает программа.
Обычно, в таких комплексах все это уже сгруппировано в виде схем-зависимостей.

Отдельно, есть софт для анализа сетевого трафика. Тот самый канал, по которому уходит собранная инфа, либо приходят команды от оператора.
Трафик перехватывается, пакеты расшифровываются, что даёт еще одну возможность узнать, какую инфу собирает троян.
Альтернативно, можно эмулировать и подменить сам целевой сервер.

По схожим кейсам составляется сетевая карта распространения.
Сопоставление с другими модификациями мальвари или другой мальвари от той же преступной группы выполняется
через сравнение энтропии / и специфического набора методик заражения, например, таких что недоступны публично,
прочими маркерами, как строковыми константами, которыми бывает сами авторы подписывают свои творения,
специфическими именами файлов и ключей реестра...
Одна из цепочек может привести к уязвимому серверу, который ломают, и в последствии может вывести на след киберпреступников.

2

@Danilich2

Спасибо большое за развернутый ответ , мне понадобится время что бы проанализировать эту инфу.

0