Опять про антивирусы
Всё-таки не дают мне покоя желание поковырять что-нибудь hex-редактором. На днях попалась карантинная директория нод'а с ~200 тушками "постояльцев". Первой мыслью было засабмитить их на сайт clam'а, но лень как обычно победила. Руками вытаскивать их - долго и задолбаешься, т.к. они шифруются, чтобы свой же сканер их не замечал.
Взяв зашифрованный и исходный образец - загнал всё на второй линуксовый сервак и стал смотреть в структуру файлов. Первое что бросилось в глаза - одинаковый размер. Поверхностный взгляд в hex-дампы обоих файлов догадку подтвердил - простая побайтовая замена. В принципе, сделав словарь соответствия байтов, можно было бы и успокоится, но хотелось залезть поглубже и найти алгоритм генерации словаря. На данный момент - у меня почти получилось, установлены зависимости сдвигов байт, но ещё нет самого кода.
Ещё хотелось бы расковырять формат описания, а не только само кодирование файлов карантина. Возможно также, что начальное "зерно" для словаря замен зависит от этих файлов.
Короче сделаю из этого проекта наглядное пособие по простенькому реверсу и покажу на следующей линуксовке после официальной части.