@Veliant25 ноя 2011 в 18:05

Приемы анализа malware: Распаковка драйверов в Ring3

4 мин

+45

Комментарии 12

@habarator 25 ноя 2011 в 19:31

А я всегда думал, что у антисов есть отдельные машины, чтобы запускать всякую малвару, или хотя бы вмваре или виртуалбокс. А у вас жесть.

«Наша служба и опасна и трудна,
И на первый взгляд как будто не видна,
На второй как будто тоже не видна,
И на третий тоже...»

@Veliant 26 ноя 2011 в 04:51

Естествеyно все делается исключительно в VMWare. Не знаю с чего вы решили, что это не так? Нежелание загружать драйвер было в кривой работе syser под виртуалкой.

@habarator 25 ноя 2011 в 19:37

И разве русток не был закрыт мелкомягкими? Закрыт, причем с концами, уже несколько месяцев как. blogs.drweb.com/node/824

Зачем так извращаться, еще и со старыми образцами малваре? Возьмите что-то новенькое, тогда уж, чтоли.

@Veliant 26 ноя 2011 в 04:54

Слышал тоже что закрыт, но раз уж пришел образец на анализ, который к тому же не распаковывался движком, пришлось это делать самому и добавлять сигнатуру поверх пакера. Так сказать что приходит, с тем и работаю. Сам поисками редко занимаюсь.

@std 25 ноя 2011 в 19:37

эх, а hiew постарел на пару-тройку мажорных версий уже…
спасибо, интересно.

@puffofsmoke 25 ноя 2011 в 19:40

> В очередной раз убеждаюсь, что моя лень заставляет извращаться еще дольше, чем это можно было бы сделать решением «в лоб»

Надеюсь всё это делалось из туалета с коммуникатора и посредством VNC

@EvilsInterrupt 26 ноя 2011 в 08:48

>>Чтобы драйвер мог подгрузить именно нашу dll, а не системную, пропатчим имена импортируемых модулей, на подготовленные нами.
А что из себя представляет Hak.dll? Это пропатченный ntoskrnl.exe или это ваша кастомная?

@EvilsInterrupt 26 ноя 2011 в 08:51

Упс. Не заметил:
>>Для этого напишем свою dll (или несколько, кому как угодно) с заглушками необходимых функций.
Но на мой взгляд лучше всего делать не в OllyDebug, а связке VMware+VirtualKD -> WinDbg. Если прикрутить pykd это модуль скриптования WinDbg на Python

@vilgeforce 26 ноя 2011 в 19:35

Хм… Интересный изврат :-) Но IDA Pro + VmWare чесслово лучше. Благо что отладчик будет прямо в иде. Есть мануал в нете, как стыковать и настраивать, если что — проконсультирую.

«Алгоритм распаковки я не стал изучать, потому что на вид пожатые данные мне показались похожи на вариант LZW.» — Это apLib, M8ZP8 — тичное начало упакованных им данных.

@Veliant 27 ноя 2011 в 07:28

Про связку VMWare+IDA я в курсе, для отладки mbr как раз это и использую. За точное название алгоритма спасибо, буду знать. На сколько понял он тоже основан на LZ

@vilgeforce 27 ноя 2011 в 20:44

Вот честно скажу: не знаю, основан он на LZ или нет. apLib и дело с концом :-)

@EvilsInterrupt 28 ноя 2011 в 07:33

>>Вот честно скажу: не знаю, основан он на LZ или нет. apLib и дело с концом
apLib? Этож LZ. Встречается в RlPak, PePack и во множестве малвары с обфускацией и заменой констант

Зарегистрируйтесь на Хабре, чтобы оставить комментарий