Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 30
Спасибо. Познавательно!
да, 1901 байт — это как в старые добрые времена, из книжки Е. Касперского «Компьютерные вирусы в MS-DOS»…
столкнулся в начале 90-х — реально страшно.
))
дос+новелл, завелось сразу две заразы, одна — местное поделие, антивирусами не отлавливаемое. оба вируса дописывались в конец исполнемых файлов (местное поделие — только.сом) и, не мудрствуя лукаво проверяли заражённость файла по наличию своей сигнатуры в конце.
… так они друг на дружке и висли…
))
дос+новелл, завелось сразу две заразы, одна — местное поделие, антивирусами не отлавливаемое. оба вируса дописывались в конец исполнемых файлов (местное поделие — только.сом) и, не мудрствуя лукаво проверяли заражённость файла по наличию своей сигнатуры в конце.
… так они друг на дружке и висли…
Я не знаю ваш уровень знаний, но снимать пакеры спец тулзами — пустая трата времени, тем более такие простые.
Большинство пакеров/крипторов снимается по HW бряку на esp-4 или же на VirtualFree, NtWriteVirtualMemory. Останавливаемся как раз перед выполнением распакованных данных.
Тем более если происходит инжект, мы ловим сразу данные которые пишутся и можно в PeTools сдампить сразу всю секцию. И по NtResumeThread, можно подменить Pid и зловредный svchost не запустится дальше.
Большинство пакеров/крипторов снимается по HW бряку на esp-4 или же на VirtualFree, NtWriteVirtualMemory. Останавливаемся как раз перед выполнением распакованных данных.
Тем более если происходит инжект, мы ловим сразу данные которые пишутся и можно в PeTools сдампить сразу всю секцию. И по NtResumeThread, можно подменить Pid и зловредный svchost не запустится дальше.
Если используете Ольку — включите подсветку. А еще лучше — используйте IDA, там все еще более читабельно.
>>>стандартную динамическую библиотеку «urlmon.lib» с целью использования функции URLDownlodToFile
только не *.lib, и с экспортной ф-ей URLDownloаdToFileA/W.
>>> Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab.
Это — не вирус.
p.s. primitive math — твой?
только не *.lib, и с экспортной ф-ей URLDownloаdToFileA/W.
>>> Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab.
Это — не вирус.
p.s. primitive math — твой?
Да, мой. Жалко только, что crackmes.de закрылся…
Исправил на «urlmon.lib». Да это не вирус, но называть программу всё время зловредным кодом и трояном литературно некрасиво.
Замечательно. Сначала мусор в коде, потом ксорка.
Вспоминается Спекки ;)
Вспоминается Спекки ;)
охренеть, как просто и понятно!
* сарказм, если что. лучики счастья людям, которые в этом разбираются. для меня это всегда было темным лесом.
* сарказм, если что. лучики счастья людям, которые в этом разбираются. для меня это всегда было темным лесом.
Ни одна АВ контора не будет пользоватся динамическими распаковщиками. Только статический анализ. И никаких отладчиков тоже.
А как же запуск файлов на виртуальных машинах и автоматический экспресс анализ на вредоносный функционал? Что АВ контора каждый подозрительный файл вручную анализирует?
Автоматическая распаковка известных упаковщиков намного проще, эффективнее и экономически выгоднее для АВ компаний — зачем тратить бесценное время на автоматизированные действия?
А если в целом, то как, вообще, Вы будете анализировать запакованный файл используя только статический анализ без отладчика и динамической распаковки. Код в уме ксорить? Или для каждой программы свой статический распаковщик писать?
Автоматическая распаковка известных упаковщиков намного проще, эффективнее и экономически выгоднее для АВ компаний — зачем тратить бесценное время на автоматизированные действия?
А если в целом, то как, вообще, Вы будете анализировать запакованный файл используя только статический анализ без отладчика и динамической распаковки. Код в уме ксорить? Или для каждой программы свой статический распаковщик писать?
«Такую энергию бы — и на мирные цели».
Как жаль, что вирусописатели тратят столько сил на всякие гадости…
Как жаль, что вирусописатели тратят столько сил на всякие гадости…
Наверное потому что «всякие гадости» приносят нормальные такие деньги?
Знания и умения вирмейкеров, реверс инженеров и т.д. слишком специфичны, чтобы применять их где -нибудь в другой области. Ты можешь создавать либо вирусы — либо антивирусы, снимать защиту с программ — либо её ставить, искать уязвимости и продавать их — либо сообщать о проделанной работе разработчику. Первое проще и выгоднее второго, второе намного сложнее, но морально правильнее.
Сейчас же, однако, популярны те области, где выгоды больше, а граница между белым и чёрным давно стёрта.
Сейчас же, однако, популярны те области, где выгоды больше, а граница между белым и чёрным давно стёрта.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вирусный анализ на примере — исследуем Trojan-Downloader.Win32.Zanoza.ab