Я – хакер! Хроника потерянного поколения - Дмитрий Артимович

кода. Реверс-инжиниринг, или обратная разработка, — это процесс восстановления структуры, внутреннего устройства программы по ее машинному коду.

В глаза мне сразу бросилось несколько моментов.

• Матросов нашел в исполняемом файле ссылку на отладочную иформацию, которую я к тому времени уже давно убрал. То есть в февральском боте этих строчек просто не было. Сборка бота происходила в два этапа: сначала C++ файлы компилировались в ассемблер, а дальше ассемблерные файлы собирались в исполняемый файл. Получение промежуточных ассемблерных файлов давало некую свободу по видоизменению кода (то есть можно было аккуратно заменять одну ассемблерную мнемонику на другие), что позволяло обходить попадание в базы данных сигнатур антивирусов.

• Матросов указал старый ключ шифрования протокола общения бота и сервера. При этом он смог расшифровать неверным ключом общение бота с сервером! Точнее, одну сторону общения бот — сервер управления. Обратная сторона сильно видоизменилась и не совпадала с исходным кодом.

• Матросов также указал название модулей управления. DLL (Dymamic Link Labrary) — модули, которые загружал сервер управления. Никакой реверс и доступ к веб-интерфейсу не могут показать названия этих библиотек.

• Матросов смог восстановить названия отдельных функций (прям как Ануфриев из «Касперского»). Компиляция C++ в исполнямый файл — это односторонняя процедура, все названия теряются безвозвратно. И даже при глубокой отладке понять назначение некоторых функций из его «исследования» практически невозможно.

В общем, для меня было очевидно, что ESET делало не реверс-инжиниринг, а исследовало исходный код, скопированный с ноутбука моего брата. Для ESET было очевидно, что я продолжаю пользоваться ботнетом.

Не берусь судить, насколько эти действия по передаче исходных кодов сторонней организации законны. Но Саша Матросов довольно бодро ездил по всему миру и рассказывал, какой он ОХРЕНИТЕЛЬНЫЙ специалист и какой сложный реверс он сделал. После чего свалил работать в США.

Я уже писал про тип людей, которые, даже когда они не правы, стараются извернуться и облить грязью тебя. А есть тип людей, которые пытаются паразитировать на тебе. К сожалению, что первых, что вторых — очень много.

28 января 2013 года я отказался от адвоката Ларисы Абрамовны Мове после промывки мозгов Врублевским. И сделал это зря, что осознал годами позже. Лариса Абрамовна — единственная, кто советовал мне правильные вещи, она практически предугадывала, что будет происходить.

12 марта 2013 года суд разбирает документы и нестыковки в датах. В частности, сначала делали СОРМ с моего канала, а потом только получали на это разрешение в суде. Таких нестыковок было много. Судья Лунина отклоняла все наши ходатайства об исключении материалов, полученных с нарушением законодательства.

Ноутбуки моего брата сменили пакеты: сначала были упакованы в пакеты черного, а потом — в пакеты белого цвета. Поменялись печати на пакетах. Такое ощущение, что ноутбуки неоднократно доставали. * * *

Мой брат отказался от очередного адвоката, и в дело вступил Павел Зайцев. Зайцев сразу же обратил наше внимание, что подписи четырех понятых по всем протоколам осмотра вещественных доказательств отличаются. Более того, у понятых постоянно менялись адреса прописки. Очень похоже было на то, что кто-то расписывался за них всех. Мы решили провести почерковедческую экспертизу. Экспертиза показала, что с большой вероятностью подписи сделаны в необычных условиях (замедленные движения, с непривычки) и одним человеком.

23 апреля 2013 года адвокат Айвар Л. К. заявляет суду ходатайство провести почерковедческую экспертизу в связи с возникшими сомнениями в принадлежности подписей понятым. Лунина отказывает.

Адвокат Айвар Л. К. заявляет следующее ходатайство: запросить сведения о посещении здания следственного управления ФСБ. Котов заявляет, что не сомневается в истинности подписей. Лунина отклоняет ходатайство.

Адвокат Айвар Л. К. заявляет ходатайство провести экспертизу ЭВМ Assist, чтобы определить, к какой именно информации был получен неправомерный доступ.

Котов парирует: ходатайство не имеет никакого отношения к делу. Лунина отказывает.

Только в обвинительном заключении она напишет, что мы получили доступ к охраняемой законом информации. Как мы его получили? Вопрос остался без ответа. * * *

Павлу Зайцеву удалось разыскать понятых. Одна из понятых, Анастасия Курочкина, дала объяснение, что никакие предметы не осматривала, не участвовала в следственных действиях и подписи на протоколах не ее. Врублевский же, радуясь находке, лично позвонил понятому Никите Евсееву…

15 мая 2013 года Павел Зайцев заявляет ходатайство:

…

Из показаний Курочкиной А. В. следует, в действиях должностных лиц Следственного управления ФСБ России содержатся признаки состава преступления, предусмотренного ст. 303 УК РФ (фальсификация доказательств), так как фальсифицированы протоколы осмотров, которые положены в основу обвинения Артимовича Игоря Александровича.

…

Ходатайствую:

…

— Назначить почерковедческую экспертизу в ЭКЦ МВД…

Лунина:

Отказать.

29 мая ходатайство государственного обвинителя:

— Прошу допросить двух понятых, а именно — Евсеева Н. И. и Теслюка И. Н. Явка свидетелей обеспечана стороной обвинения.

Зайцев:

— Я получил на руки повестки, о чем свидетельствует соответствующая расписка, повестки были о вызове трех лиц: Шукайло, Теслюк и Курочкиной. До Шукайло я не дозвонился. Теслюк и Курочкиной я вручил повестку. Они явились. Прошу допросить. Начать допрос с Курочкиной А. В. Курочкина представит вам доказательство.

В зал судебного заседания приглашается Курочкина А. В.

Зайцев:

— В 2011 году вы присутствовали при осмотре документов в Следственном управлении ФСБ России?

Курочкина:

— Нет.

— Вы вообще присутствовали в Следственном управлении ФСБ России по данному уголовному делу?

— Нет.

— Поясните, вы знакомы с Евсеевым Н. С.?

— Да.

Как следует из допроса Курочкиной, она была девушкой следователя, а понятой Евсеев — другом следователя (входил в их компанию).

Зайцев:

— Когда последний раз вы общались с Дадинским С. С.?

Курочкина:

— Неделю назад.

— При каких обстоятельствах?

— Он приезжал ко мне на работу и просил, чтобы я забрала заявление и явилась в суд. Просил написать заявление о том, что подпись, стоящая в протоколах, действительно моя.

— На 29 мая 2013 года Дадинский С. С. приглашал вас в суд?

— Он просил меня не ехать сегодня в суд.

— Почему вы считаете, что Дадинский С. С. просил сказать вас неправду?

— Дадинский С.С. считает, что это повлияет на ход дела. Негативно повлияет на ход дела.

Следующим опрашивали понятого Теслюка. Теслюк заявил, что приходил в Следственное управление и все подписи — его.

После в зал судебного заседения зашел понятой Евсеев. Как он пояснил суду, он участвовал во всех следственных действиях, и вообще, он всегда расписывается по-разному. После перешел к самому главному: «…Мне позвонил Врублевский П.