Комментарии 30
Спасибо. Познавательно!
0
НЛО прилетело и опубликовало эту надпись здесь
да, 1901 байт — это как в старые добрые времена, из книжки Е. Касперского «Компьютерные вирусы в MS-DOS»…
0
столкнулся в начале 90-х — реально страшно.
))
дос+новелл, завелось сразу две заразы, одна — местное поделие, антивирусами не отлавливаемое. оба вируса дописывались в конец исполнемых файлов (местное поделие — только.сом) и, не мудрствуя лукаво проверяли заражённость файла по наличию своей сигнатуры в конце.
… так они друг на дружке и висли…
))
дос+новелл, завелось сразу две заразы, одна — местное поделие, антивирусами не отлавливаемое. оба вируса дописывались в конец исполнемых файлов (местное поделие — только.сом) и, не мудрствуя лукаво проверяли заражённость файла по наличию своей сигнатуры в конце.
… так они друг на дружке и висли…
0
Я не знаю ваш уровень знаний, но снимать пакеры спец тулзами — пустая трата времени, тем более такие простые.
Большинство пакеров/крипторов снимается по HW бряку на esp-4 или же на VirtualFree, NtWriteVirtualMemory. Останавливаемся как раз перед выполнением распакованных данных.
Тем более если происходит инжект, мы ловим сразу данные которые пишутся и можно в PeTools сдампить сразу всю секцию. И по NtResumeThread, можно подменить Pid и зловредный svchost не запустится дальше.
Большинство пакеров/крипторов снимается по HW бряку на esp-4 или же на VirtualFree, NtWriteVirtualMemory. Останавливаемся как раз перед выполнением распакованных данных.
Тем более если происходит инжект, мы ловим сразу данные которые пишутся и можно в PeTools сдампить сразу всю секцию. И по NtResumeThread, можно подменить Pid и зловредный svchost не запустится дальше.
+6
Если используете Ольку — включите подсветку. А еще лучше — используйте IDA, там все еще более читабельно.
+2
>>>стандартную динамическую библиотеку «urlmon.lib» с целью использования функции URLDownlodToFile
только не *.lib, и с экспортной ф-ей URLDownloаdToFileA/W.
>>> Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab.
Это — не вирус.
p.s. primitive math — твой?
только не *.lib, и с экспортной ф-ей URLDownloаdToFileA/W.
>>> Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab.
Это — не вирус.
p.s. primitive math — твой?
+1
Да, мой. Жалко только, что crackmes.de закрылся…
0
Исправил на «urlmon.lib». Да это не вирус, но называть программу всё время зловредным кодом и трояном литературно некрасиво.
0
Замечательно. Сначала мусор в коде, потом ксорка.
Вспоминается Спекки ;)
Вспоминается Спекки ;)
0
охренеть, как просто и понятно!
* сарказм, если что. лучики счастья людям, которые в этом разбираются. для меня это всегда было темным лесом.
* сарказм, если что. лучики счастья людям, которые в этом разбираются. для меня это всегда было темным лесом.
+2
Ни одна АВ контора не будет пользоватся динамическими распаковщиками. Только статический анализ. И никаких отладчиков тоже.
0
А как же запуск файлов на виртуальных машинах и автоматический экспресс анализ на вредоносный функционал? Что АВ контора каждый подозрительный файл вручную анализирует?
Автоматическая распаковка известных упаковщиков намного проще, эффективнее и экономически выгоднее для АВ компаний — зачем тратить бесценное время на автоматизированные действия?
А если в целом, то как, вообще, Вы будете анализировать запакованный файл используя только статический анализ без отладчика и динамической распаковки. Код в уме ксорить? Или для каждой программы свой статический распаковщик писать?
Автоматическая распаковка известных упаковщиков намного проще, эффективнее и экономически выгоднее для АВ компаний — зачем тратить бесценное время на автоматизированные действия?
А если в целом, то как, вообще, Вы будете анализировать запакованный файл используя только статический анализ без отладчика и динамической распаковки. Код в уме ксорить? Или для каждой программы свой статический распаковщик писать?
0
«Такую энергию бы — и на мирные цели».
Как жаль, что вирусописатели тратят столько сил на всякие гадости…
Как жаль, что вирусописатели тратят столько сил на всякие гадости…
0
Наверное потому что «всякие гадости» приносят нормальные такие деньги?
0
Знания и умения вирмейкеров, реверс инженеров и т.д. слишком специфичны, чтобы применять их где -нибудь в другой области. Ты можешь создавать либо вирусы — либо антивирусы, снимать защиту с программ — либо её ставить, искать уязвимости и продавать их — либо сообщать о проделанной работе разработчику. Первое проще и выгоднее второго, второе намного сложнее, но морально правильнее.
Сейчас же, однако, популярны те области, где выгоды больше, а граница между белым и чёрным давно стёрта.
Сейчас же, однако, популярны те области, где выгоды больше, а граница между белым и чёрным давно стёрта.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вирусный анализ на примере — исследуем Trojan-Downloader.Win32.Zanoza.ab