Pull to refresh

Comments 30

UFO just landed and posted this here
Также встречал там даже не .NET, просто школьникам кто-то рассказал про PHP и PHP DevelStudio…
Посмотрите, как оно работает и что делают выходные .exe — станет понятно, ОТКУДА там 6+ Мб.
UFO just landed and posted this here
«Я медленно дропаю из себя несколько DLL во временную папку...»
UFO just landed and posted this here
да, 1901 байт — это как в старые добрые времена, из книжки Е. Касперского «Компьютерные вирусы в MS-DOS»…
столкнулся в начале 90-х — реально страшно.
))
дос+новелл, завелось сразу две заразы, одна — местное поделие, антивирусами не отлавливаемое. оба вируса дописывались в конец исполнемых файлов (местное поделие — только.сом) и, не мудрствуя лукаво проверяли заражённость файла по наличию своей сигнатуры в конце.
… так они друг на дружке и висли…
Напоминает «вирусы» из книжки Хижняка :-)
Я не знаю ваш уровень знаний, но снимать пакеры спец тулзами — пустая трата времени, тем более такие простые.
Большинство пакеров/крипторов снимается по HW бряку на esp-4 или же на VirtualFree, NtWriteVirtualMemory. Останавливаемся как раз перед выполнением распакованных данных.
Тем более если происходит инжект, мы ловим сразу данные которые пишутся и можно в PeTools сдампить сразу всю секцию. И по NtResumeThread, можно подменить Pid и зловредный svchost не запустится дальше.
Статья была рассчитана на новичка, поэтому я выбрал принцип наименьшего сопротивления.
Если используете Ольку — включите подсветку. А еще лучше — используйте IDA, там все еще более читабельно.
>>>стандартную динамическую библиотеку «urlmon.lib» с целью использования функции URLDownlodToFile

только не *.lib, и с экспортной ф-ей URLDownloаdToFileA/W.

>>> Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab.
Это — не вирус.
p.s. primitive math — твой?
чёрт, помню целую ночь с ним «просидел»…
>>>Жалко только, что crackmes.de закрылся
да, это — печально…
Вроде как не окончательно закрылся, а только приостановил свою работу.
Вот блин. А ни у кого не осталось архивов крякми? А то жалко, такая коллекция…
Исправил на «urlmon.lib». Да это не вирус, но называть программу всё время зловредным кодом и трояном литературно некрасиво.
Замечательно. Сначала мусор в коде, потом ксорка.
Вспоминается Спекки ;)
охренеть, как просто и понятно!

* сарказм, если что. лучики счастья людям, которые в этом разбираются. для меня это всегда было темным лесом.
Ни одна АВ контора не будет пользоватся динамическими распаковщиками. Только статический анализ. И никаких отладчиков тоже.
А как же запуск файлов на виртуальных машинах и автоматический экспресс анализ на вредоносный функционал? Что АВ контора каждый подозрительный файл вручную анализирует?

Автоматическая распаковка известных упаковщиков намного проще, эффективнее и экономически выгоднее для АВ компаний — зачем тратить бесценное время на автоматизированные действия?

А если в целом, то как, вообще, Вы будете анализировать запакованный файл используя только статический анализ без отладчика и динамической распаковки. Код в уме ксорить? Или для каждой программы свой статический распаковщик писать?
UFO just landed and posted this here
«Такую энергию бы — и на мирные цели».
Как жаль, что вирусописатели тратят столько сил на всякие гадости…
Наверное потому что «всякие гадости» приносят нормальные такие деньги?
Война тоже приносит кому-то деньги. Разве ж это хорошо?
Оценка будет разниться в зависимости от того, кто будет оценивать.
Знания и умения вирмейкеров, реверс инженеров и т.д. слишком специфичны, чтобы применять их где -нибудь в другой области. Ты можешь создавать либо вирусы — либо антивирусы, снимать защиту с программ — либо её ставить, искать уязвимости и продавать их — либо сообщать о проделанной работе разработчику. Первое проще и выгоднее второго, второе намного сложнее, но морально правильнее.

Сейчас же, однако, популярны те области, где выгоды больше, а граница между белым и чёрным давно стёрта.
Sign up to leave a comment.

Articles