Доклад будет на русском, но слайды я постараюсь сделать на английском.
Конечно, мы не станем толдычить только описанное в статье и расскажем кое-что новое. Предысторией создания метода динамического обнаружения шелл-кода стал опыт Исследования инцидентов собственными силами, о чём мы сделали одноимённый доклад на CC'2011 (). Активное тестирование описанной технологии началось как раз в начале этого года. За это время мы успели испробовать наш метод (реализованный в виде ПО) на более чем 20 000 файлов разных форматов, открытых разными программами, на разных ОС.
Совсем уж точных данных пока не ведём, но речь идёт о:
- Более 20 000 pdf-файлов
- Более 10 000 вордовских файлов (doc, docx, rtf)
- ПО, которым открывались файлы: MS Word 2003, 2007, Libre Office 4.0, Adobe Reader 9-11, Foxit Reader 3-6, Google Chrome, Yandex.Browser
- Работа в ОС WinXP, Windows 7
- Несколько атак на компьютеры фирмы, сотрудники которой принимали участие в тестировании нашего ПО (атаки были через doc-документы, CVE от 2012 года)
- Ошибку в Yandex.Browser, приводящую к падению браузера (сообщили разработчикам, в , вроде, пофиксили. Но я ещё не успел проверить)
- И ещё много чего. Данных накопилось огромное количество, не всё обработано. Так что ближе к докладу постараемся отрыть что-нибудь вкусненькое и рассказать об этом.
