Pull to refresh

Comments 31

Читается на одном дыхании, как детектив. Автору и переводчику огромное спасибо.
Могу посоветовать xylibox.com, француз постоянно пишет о компьютерном криминале, и не просто пишет, а расследует, крякает и все такое.
Наконец, можно провести детальный анализ сетевой активности, используя Wireshark, а также активности в файловой системе и реестре, используя procmon, да и вообще поиграться с работающей программой в Process Explorer.

А просто переименовать и запустить нужную программу нельзя?
// а, ой, это перевод
Можно. но это сработает только в довольно простых случаях (как этот). Более «продвинутые» техники предусматривают анализ процесса по сигнатурам. Встречал протекторы, которые еще проверяли, не установлен ли драйвер мониторинга (емнип, то ли procmon, то ли process explorer ставит такой драйвер при первом своем запуске после перезагрузки; выгрузка драйвера происходит только после перезагрузки системы).
В винде нельзя запустить программу от пользователя, а считать память от администратора?
Я такое пишу всегда в своем протекторе. Но этот метод тоже далек от идеала, любая перекомпиляция программы к примеру ProcessExplorer это по сути новая сигнатура или взять вместо новой более старую, уже могут сигнатуры отвалиться. Так что по строкам более надежней способ, хотя их надо не в открытом виде а в виде хэшей хранить
UFO just landed and posted this here
В данном случае ничего не мешает. Хотя аналитику может быть интересна ещё и сетевая активность внутри виртуалки, которая наружу не попадает.
Эх, на самом же интересном месте закончилось. Какие команды может получать вредонос, какую информацию сливает, что умеет делать — было очень бы любопытно узнать. Но читается и правда на одном дыхании, спасибо.
Ссылка ж приложена — поднять виртуалку да помониторить живой обмен никто не мешает :)
Я обычно запускаю сниффер с хостовой ОС. А то встречал однажды тоже детект, зловред менял логику и ничего не слал по сети.
А не логичнее ли запускать опасный код в виртуалке, а wireshark на основной системе?
Имхо виртуалка детектится без проблем.
А разработчики Windows и не знали.
UFO just landed and posted this here
Да, было бы интересно почитать.
Ну у автора статьи к примеру Process Explorer не запускался, но он же не был этим смущен и просто запатчил нужное место. Точно также можно поступить и с местами детекта виртуалок, благо способов определить виртуалку не так много(я имею ввиду топ пополулярных способов)
Большое спасибо за набор инструментов, спасибо за перевод.
А вот интересно, у него «левые копии» байт в байт совпадают. Неужели нельзя было добавить хотя бы примитивнейший полиморфизм. Ну там, хотя бы nop'ов добавить. Я уж не говорю про, например, реордеринг кода.
Как уже заметили выше, тут «защиту» можно обойти, переименовав файл запускаемой утилиты, если его дефолтное имя находится в черном списке. А вы про полиморфы тут)
Ну, я не спец в кибербезопасности.

Мне казалось, что запутать свой код проще, чем искать паттерны в чужом, для написания сигнатур.
Никто не разгадал случаем, что находится в PNG?
UFO just landed and posted this here
Мда, MFC-вирусы… печалька. Малварщики уже не те.
поковырялся. обычный винлокер. прибивает антивирусы, меняет политики в реестре, перегружает винду. шифрует файлы, прибивает оригиналы. требует бабло.
mfc не используется. разве что пару функций ATL динамически — чтобы создать окно с кнопками на основе HTML
а так, вполне безобидный зверек :)
Черт возьми — исследование — ТОРТ! Респект!
Sign up to leave a comment.

Articles