estás totalmente equivocado y hablando desde la ignorancia pura y dura, una cosa es el
ANÁLISIS DE CÓDIGO ESTÁTICO Y OTRO ES EL ANÁLISIS EN TIEMPO REAL, son dos cosas
totalmente diferentes, decir que al tener el código fuente no es necesario realizar ingeniería inversa
es una ignorancia del porte de un buque 2 COMPILADORES EN EL MISMO SISTEMA OPERATIVO
NO GENERAN EL MISMO BINARIO, por algo existen vulnerabilidades que dependen TANTO DE LA
 ARQUITECTURA DEL PROCESADOR , S.O y un ambiente X , PUEDE HABER UN EXPLOIT PARA UN S.O XXXXXXX CON LA ARQUITECTURA 64bits Y NO ASÍ PARA EL MISMO S.O en diferente arquitectura Y/O S.O, hay vulnerabilidades que necesitan generar un ambiente propicio para se explotados, veamos cuántos años pasaron para que alguien descubriera la vulnerabilidad de MYSQL que realizando varias peticiones te daba acceso como root, este mismo bug sirve en una versión X de MYSQL y un ambiente propicio te lo digo por experiencia  pero  ¿ MYSQL NO ES DE CÓDIGO ABIERTO?, ¿POR QUÉ DEMORARON TANTO EN DESCUBRIRLO?.
¿por qué demoraron 7 años en descubrir un NULL POINTER en el KERNEL DE LINUX?.

LO que te limita realmente es la imaginación, NADA MAS QUE ESO!!, decir que existe finitas maneras
de saltarte X sistema, solo habla de una persona limitada, ya que esa es la gracia  cada día
tener un nuevo reto y que la cosa vaya avanzando.

por cierto una acotación, los invito a revisar en algún changelog cuántas vulnerabilidades solucionan
y luego cuántos exploit públicos hay ?? , se olvidan que existe un mercado negro de exploit ??.

Vaya, entonces debo haber perdido el tiempo durante los últimos tres años mientras realizaba mi herramienta y no debería sentirme tan orgulloso de que sea una referencia en el análisis por comportamiento a nivel mundial. En fin, ¡qué se le va a hacer!

Y bien, ¿tú qué has hecho para que cuando hables no lo hagas desde la ignorancia pura y dura?


¿Y yo he dicho que sean dos cosas iguales? ¿Dónde si se puede saber?


http://es.wikipedia.org/wiki/Ingenier%C3%ADa_inversa

"El objetivo de la ingeniería inversa es obtener información o un diseño a partir de un producto accesible al público, con el fin de determinar de qué está hecho, qué lo hace funcionar y cómo fue fabricado."

Precisamente se llama inversa porque partiendo del código binario has de conseguir el código ejecutable.

¿Y eres tú el que me acusa de hablar desde la ignorancia?

 

Buster "nunca digas nunca", ni en informatica ni en la vida real son aplicables.
No te quito tu parte de razón, ni a Karcrack, son puntos de vista diferentes de dos programadores.
Un ejemplo de malware que me llamó la atención fue el bootkit de Stoned, no es nuevo lo se, pero a lo que me refiero es que aprovecha una falla de arquitectura, no se puede remediar (palabras de Kumar "TheHackerNews").
No es una comparación, son completamente distintos, yo lo tomo como un ejemplo y que "sin imaginación" puedes saber malabares sobre programación y no llegar nunca a conseguirlo.
Si no tubieses imaginación, jamás hubieses hecho tu herramienta ¿me equivoco?
Esperemos no se llegue nunca a descubrir una falla de este tipo, a más de uno nos iban a dar una lección de humildad, me incluyo el primero no va por nadie.

Saludos.

En el análisis por comportamiento la ofuscación no vale para nada. Ya puedes usar toda la ofuscación del mundo que si al final droppeas un fichero a disco va a quedar constancia de tal acción. Y lo mismo si alteras una clave del registro o si te conectas a una página web y descargas un archivo.

Es cierto que las aplicaciones legítimas también escriben en el registro, se conectan a internet y descargan ficheros o crean ficheros en el disco duro.

En el análisis por comportamiento no solo se evalúan las acciones, también se tiene que tener en cuenta si se supone que la aplicación analizada debería realizar esas acciones o no.

Pongo un ejemplo para que se vea más claro:

Descargas un keygen y cuando lo ejecutas escribe en la clave del registro "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" y el fichero se copia a "C:\WINDOWS\System32\Scvhost.exe".

¿Qué debes pensar de que un keygen haga tal cosa? Pues que contiene un malware obviamente.

Otro ejemplo:

Descargas una versión del navegador FireFox y añade claves en el registro y crea ficheros dentro de "\Archivos de programa\FireFox".

¿Qué debes pensar de que un instalador del FireFox haga tal cosa? Pues que aparentemente es normal.

Evidentemente la herramienta de detección 100% efectiva no existe y solo con un análisis manual y exhaustivo de una aplicación se puede estar seguro de que no contiene código malicioso.


Pues yo no estoy de acuerdo. La imaginación te sirve para crear una idea, por ejemplo saltar desde una máquina virtual e infectar el host. Luego son la experiencia y los conocimientos los que te permiten llevar esa idea a la práctica.

Y como ya he dicho, no todas las ideas se pueden llevar a la práctica porque los que fabrican software también tienen imaginación, y ellos también tienen ideas, como la de evitar que sea posible que una aplicación desde la máquina virtual se pueda hacer con el control del host.

Pregunta para todos:

¿Por qué dais por supuesto que la imaginación del que intenta evadir la protección en un software es mayor o mejor que la imaginación del que creó el software?

Seguro que nunca os habías hecho tal pregunta, ¿verdad?

Visto desde un punto de vista lógico y racional el número de vulnerabilidades que permitan realizar una determinada acción es un número finito. En cuanto el que diseña el software corrige las vulnerabilidades ese número llega a 0 y en este momento es imposible realizar esa determinada acción.

Cuando un software llega al número 0 en vulnerabilidades por mucha imaginación que le intentes echar (y repito que la imaginación sirve para crear ideas) será imposible lograr tal acción.

Eso es lógica pura y dura y no es discutible como tampoco es discutible que el todo es mayor que cualquiera de las partes.