Я не был разработчиком программного обеспечения очень долго, но мне это нравится. В моем дневной работе я делаю Backeng работать в колбе, но я искал захватывающий проект, чтобы работать на дому, что-то, что растягивает мои навыки и научит мне новых вещей. И, может быть, позвольте мне немного грязно. Поскольку я был подростком, я был очарован вредоносным ПО. Однако это любопытство, которое я не исследовал столько, сколько хотел бы. Так Когда ни один крахмальный пресс не имел продажи, которую я нашел, и предварительно заказал наука о вредоносных программах Джошуа Сакс и Хиллари Сандерс.
Я только начал читать главу 4, и я наслаждаюсь этим до сих пор. Может быть, я напишу обзор, когда я закончу. Тем временем я хотел бы быть в блоге Real быстро о небольшой проблеме, которую я работал через главу 2, и как я его исправил (это была моя проблема, а не авторами).
Все авторы в Python2.7, и я более привык к 3. Не большая сделка, хотя, верно? Я профессионал, я могу выйти на это. Нет, это не моя проблема.
То, что я пропустил, когда небольшая деталь, когда я загрузил образец кода и файлы вредоносных программ. ZIP-файл имеет право malware_data_science_entrypoints_redacted.zip.
Задача в главе 2 I пыталась, заключалась в том, чтобы распечатать декомпилированное вредоносное ПО, начиная с адреса выхода. Я завершил свой порт своего сценария Python (он был хитрым вкладываю в скобки в этот оператор печати) и провел его. И ничего не произошло.
Что я сделал не так, я задавался вопросом? Я проверил файл. Я прочитал через Readme на Github Pefile. Я проверил документацию Capstone. Я делал все правильно. Я пошел так далеко, что скачал авторы полезным Ubuntu VM, со всем кодом и данными на нем уже. Это сработало там. Но не на моей Федоре ВМ.
Это разочаровало меня за гораздо дольше, чем он должен иметь. Я не помню, когда «enterPoints_redacted» поймал мой глаз, но я почувствовал немного глупости. Я немного изменил свой скрипт, чтобы распечатать адрес въезда, и он уравновешен 0xcc00ffee. Когда вы кормите этот адрес в разборке, вы ничего не получаете, как этот адрес (это смещение, верно?) Очень большая (3 с половиной ГБ), а размер самого файла почти 631K.
Я пробежал свою виртуальную машину и оттуда распечатал адрес въезда. Slowly 0x121BA (или 74170 в Python). Вошел в мой скрипт и вуаля, я получил разобранный код. Это не совсем то, что книга говорит, что должна быть, но именно то, что работает рабочий код на VM авторов, так что я думаю, что я сделал что-то правильно.
Я с нетерпением жду копания глубже в этой книге.
Оригинал: “https://dev.to/ellowrath/first-adventure-in-malware-data-science-426m”