Cекретный ингредиент для реверс-инжиниринга: как работает наш собственный опенсорс-плагин для IDA

Привет, Хабр! Меня зовут Георгий Кучерин, я — Security Researcher в Глобальном центре исследования и анализа угроз (GReAT) «Лаборатории Касперского», где мы занимаемся изучением APT-атак, кампаний кибершпионажа и тенденций в международной киберпреступности. Да-да, тот самый GReAT, который раскрыл кампанию «Операция Триангуляция» и множество других сложных атак :) В нашем арсенале есть собственный плагин hrtng для IDA Pro (известная утилита для реверс-инжиниринга), который упрощает реверсинг вредоносного ПО. Недавно мы опубликовали код этого плагина в открытом доступе под лицензией GPLv3 — и хотим наглядно показать, как именно он может облегчить реверсеру жизнь. В этой статье мы проанализируем с помощью hrtng образец известного трояна FinSpy, а в процессе анализа дадим немного рекомендаций по работе с IDA в целом.

https://habr.com/ru/companies/kaspersky/articles/865394/

#реверсинжиниринг #информационная_безопасность #плагин #плагины #угрозы #иб #опенсорс #реверсинг #malware #хэширование #хэш #вредоносное_по #вредоносный_код #cybersecurity #ida_pro #вредонос #троян #троянский_конь #троянец #троянывымогатели