Как программа "Блокнот" определяет кодировку файла?

UTF-16LE и UTF-16BE тоже содержат такие маркеры, кстати.

Ассемблер или си для вирусописателей?

doublench21

я не специалист в этой теме

Тогда зачем отвечать? Я же не бегу в вопросы с вашими этими формочками и прочим бредом лезть? Ну и тебе не советую лезть сюда.

прекрасно понимаю и не по наслышке, что Си/с++ это явно не единственный выход

Ну да, можно еще асм. В ряде случаев - например перехват апи, который требуется для реализации инжей и сокрытия процессов - можно реализовать только на нативном коде.

Хотя согласен, многие пишут ( да что там многие - большинство ) малварь на C#. Только почему о ней нигде не пишут? Да потому что это детские поделки, на уровне подменить буфер обмена или скачать файл с интернета.

Я не бросаюсь терминами, как ты, а спрашиваю хоть о каких-то познаниях языка, коих у тебя нет

Для меня твои шарповские термины тоже были не особо понятны. Так что я просто переспросил тебя тем же ключом, что и ты "спросил" меня о познаниях языка.

А касаемо смены тона, я думал тебе хватит. А если нет, то повторюсь, мать свою чекни

Хватить на что? "Согласиться" с твоим ошибочным мнением?

Ассемблер или си для вирусописателей?

doublench21, приведи пример, я большинство из этих "вирусов" реверсил лично. Тот факт, что в твоем ответе ты считаешь что Petya написан C# говорит о твоем полном не знании последних тенденций.

Мне понравилось как ты тон сменил. Ты, видимо, решил провести профанацию, чтобы показаться крутым специалистом, но нарвался на человека, который пол жизни работает в этой сфере. Неудобно стало?

Ассемблер или си для вирусописателей?

doublench21, Ты так и не ответил как ты реализуешь подмену выдачи сайта и как сделаешь вообще любые хуки, которые юзаются в более-менее нормальной малвари, одни оскорбления. В ядро ты вообще не сможешь на шарпе кодить ( драйвера, привет ), а вся серьезная APT малварь работает в ядре. Тот же Duqu2, Turla/Uroborus.

По поводу крипта - в каком месте норм крипт? Ты устанешь чистить крипт на MSIL коде, когда сигнатуры на отдельную малварь прилетают каждые 6 часов. Из моей практики на шарпе весь софт что я встречал - это либо нерезиденты аля стилеры, грабберы, либо резидентные скрытые майнеры и ддос боты. На больше этот язык просто не способен

Ассемблер или си для вирусописателей?

doublench21, Ты прав, никогда не писал. Я тоже могу придумать массу вопросов: а ты писал когда-нибудь полиморфный файловый инфектор? Инжи реализовывал? Перехват трафика не, не слышал. Когда-нибудь общался с C&C сервером посредством NDIS с IRQL_PASSIVE_LEVEL? Нет? Тебе хоть что-нибудь понятно из того что я сказал? А это винда. Чепушилою

Что, приятно? Да, я не пишу на дотнет. Моя тема другая - я вирусный аналитик в одной крупной конторе зарубежной. И я работаю с зловредами каждый день. И поверь я знаю в этой теме больше тебя, я пришел ответить на вопрос ТСа. Давай я не буду лезть в твой дотнет, а ты в малварь, м?

Ассемблер или си для вирусописателей?

doublench21, во всяком случае ты на 100% знаешь что происходит в твоем коде. А с какой вероятностью ты можешь отвечать что находится в этих врапперах? Ну напишешь ты говнопрогу на .NET. Как ты ее распространять будешь? На XP предустановлен 2.* версия .NET, на 10-ке какая-то 4-я, а та что на XP-7 отключена. И как тут быть? Офигенно, да? А как ты собираешься его криптовать? будешь свой обфускатор писать или колдовать с mscore при прогрузке кода в память? Или твои боты помрут спустя 4 часа после прогруза? Не шаришь в ИБ - уж помалкивай и иди формочки рисовать

Ассемблер или си для вирусописателей?

Тебе их вызывать что ли? Петя на Си написан.

https://securelist.com/expetrpetyanotpetya-is-a-wi...

Чистый натив, а код собран явно в MSVC

> Если ты пишешь вирус под Windows, то очевидно, что тебе нужно работать с WinAPI. А как это сделать быстрее всего, правильно .NET Framework

Это че за бред? Быстрее не значит качественнее