вторник, 12 июля 2011 г.

задачко

придумал тут для собеседования вирусных аналитиков
Вот например у вас есть уязвимый метод xyz в некоем activexе, которому на вход подается слишком длинная строка и по этому признаку можно вполне надежно детектить всякое. Вы смотрите tlb и реализуете свою версию этого activex - с IDispatch и той же tlb, на чем угодно - visual basic/atl/pure asm - неважно
Запускаем и видим что наш фальшивый объект создается, но метод xyz не вызывается, хотя с оригинальным activex эксплойт вполне себе срабатывает
Нужно описать ваши действия по выяснению того что пошло не так
Лично мне например хватило давеча 20 минут чтобы полностью понять что происходит, но в данном случае интересно не конкретное решение (которых кстати может быть несколько (минимум 3 штуки) и гуглить их бесполезно, ага), а именно ход мыслей кандидата и какие инструменты он собирается при этом использовать
Заодно было бы интересно узнать сколько действующих вираналитиков способны решить подобное

Комментариев нет:

Отправить комментарий