Комментарии 12
А я всегда думал, что у антисов есть отдельные машины, чтобы запускать всякую малвару, или хотя бы вмваре или виртуалбокс. А у вас жесть.
«Наша служба и опасна и трудна,
И на первый взгляд как будто не видна,
На второй как будто тоже не видна,
И на третий тоже...»
«Наша служба и опасна и трудна,
И на первый взгляд как будто не видна,
На второй как будто тоже не видна,
И на третий тоже...»
0
И разве русток не был закрыт мелкомягкими? Закрыт, причем с концами, уже несколько месяцев как. blogs.drweb.com/node/824
Зачем так извращаться, еще и со старыми образцами малваре? Возьмите что-то новенькое, тогда уж, чтоли.
Зачем так извращаться, еще и со старыми образцами малваре? Возьмите что-то новенькое, тогда уж, чтоли.
0
эх, а hiew постарел на пару-тройку мажорных версий уже…
спасибо, интересно.
спасибо, интересно.
0
> В очередной раз убеждаюсь, что моя лень заставляет извращаться еще дольше, чем это можно было бы сделать решением «в лоб»
Надеюсь всё это делалось из туалета с коммуникатора и посредством VNC
Надеюсь всё это делалось из туалета с коммуникатора и посредством VNC
+4
>>Чтобы драйвер мог подгрузить именно нашу dll, а не системную, пропатчим имена импортируемых модулей, на подготовленные нами.
А что из себя представляет Hak.dll? Это пропатченный ntoskrnl.exe или это ваша кастомная?
А что из себя представляет Hak.dll? Это пропатченный ntoskrnl.exe или это ваша кастомная?
0
Хм… Интересный изврат :-) Но IDA Pro + VmWare чесслово лучше. Благо что отладчик будет прямо в иде. Есть мануал в нете, как стыковать и настраивать, если что — проконсультирую.
«Алгоритм распаковки я не стал изучать, потому что на вид пожатые данные мне показались похожи на вариант LZW.» — Это apLib, M8ZP8 — тичное начало упакованных им данных.
«Алгоритм распаковки я не стал изучать, потому что на вид пожатые данные мне показались похожи на вариант LZW.» — Это apLib, M8ZP8 — тичное начало упакованных им данных.
+1
Про связку VMWare+IDA я в курсе, для отладки mbr как раз это и использую. За точное название алгоритма спасибо, буду знать. На сколько понял он тоже основан на LZ
+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Приемы анализа malware: Распаковка драйверов в Ring3