Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 29
Торопитесь, скачайте и запустите! Ведь через несколько часов 13-ое число, к тому же пятница. Будет весело :) Если без шуток, он даже папку системы удаляет? То есть операционка позволяет?
>>Copyright 1989-2000 Borland Inc. Borland C++ run-time library», определяющая язык и версию компилятора
Это признак, а не окончательный вердикт. Компиллер следует определять по нескольким признакам, один из которых это строение точки входа на который хоть как-то можно полагаться.
Это признак, а не окончательный вердикт. Компиллер следует определять по нескольким признакам, один из которых это строение точки входа на который хоть как-то можно полагаться.
какой отладчик на скриншотах?
На скриншотах OllyDbg-like или сама олька. Однако я бы не советовал. Не смотря на то что юзер-фрэндли тем не менее он нацелен только на user-mode. Рекомендую сразу же учиться юзать WinDBG, по одной простой причине: ему нет равных на Windows-системах. С тех пор как умер проект SoftIce никто так и не осилил написать хоть сколь-нибудь серьезный дебагер. Хотя есть достойная попытка Syser, но ему ой как далеко до WinDBG. Если решите прислушаться к моему совету, то рекомендую сразу смотреть в сторону Pykd это плагин для WinDBG позволяющий скриптовать на Python. А он сейчас встроен во многие Research-утиллиты, к примеру IDA pro, Hiew
для юзер мода олли идеально справляется со своими задачами. все таки трудновато в windbg снимать слои упаковщиков и плагинная система хромает
Насчет WinDBG не скажу, но после SoftICE использовать Syser — как бальзам на душу. По крайней мере интерфейс и команды не вызывают отторжения.
IDA pro наиболее юзерфрендли из них всех.
К тому же под нее множество плагинов, которые иногда позволяют весьма упростить процесс работы
К тому же под нее множество плагинов, которые иногда позволяют весьма упростить процесс работы
OllyDBG, версию не помню…
ах, вернуть бы те времена когда почти вся малварь была чистая, без крипторов
Да малварь сейчас не особо сложно пакуется, иногда даже Hiew-скрипта хватает для распаковки. Редко какая тварь серьезно пакуется. Цели-то не от реверсера спрятаться, а от продукта!
ага. бряк на ZwWriteVirtualMemory/ZwAllocateVirtualMemory и весь криптор снят
Странно, разве малварь-мейкеры не используют крипторы для скрытия от глаз антивирусов?
Помнится, год назад execryptor и тому подобные тулзы прекрасно защищали старые вирусы от детекта касперского.
Помнится, год назад execryptor и тому подобные тулзы прекрасно защищали старые вирусы от детекта касперского.
OllyDbg без подсветки синтаксиса… Мои глаза!
>Я совершенно не могу понять для какой цели данный вирус, вообще, предназначен? Все-таки за 10 лет вредоносное ПО сделало большой шаг в своём развитии.
В те времена вирусы писали ради лулзов, а сейчас ради денег.
В те времена вирусы писали ради лулзов, а сейчас ради денег.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вирусный анализ для начинающих — анализируем Virus.Win32.MTV