Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 12

А я всегда думал, что у антисов есть отдельные машины, чтобы запускать всякую малвару, или хотя бы вмваре или виртуалбокс. А у вас жесть.

«Наша служба и опасна и трудна,
И на первый взгляд как будто не видна,
На второй как будто тоже не видна,
И на третий тоже...»

Всего голосов 4: ↑2 и ↓20
Естествеyно все делается исключительно в VMWare. Не знаю с чего вы решили, что это не так? Нежелание загружать драйвер было в кривой работе syser под виртуалкой.
Всего голосов 1: ↑1 и ↓0+1
И разве русток не был закрыт мелкомягкими? Закрыт, причем с концами, уже несколько месяцев как. blogs.drweb.com/node/824

Зачем так извращаться, еще и со старыми образцами малваре? Возьмите что-то новенькое, тогда уж, чтоли.
Всего голосов 4: ↑2 и ↓20
Слышал тоже что закрыт, но раз уж пришел образец на анализ, который к тому же не распаковывался движком, пришлось это делать самому и добавлять сигнатуру поверх пакера. Так сказать что приходит, с тем и работаю. Сам поисками редко занимаюсь.
Всего голосов 2: ↑2 и ↓0+2
эх, а hiew постарел на пару-тройку мажорных версий уже…
спасибо, интересно.
Всего голосов 2: ↑1 и ↓10
> В очередной раз убеждаюсь, что моя лень заставляет извращаться еще дольше, чем это можно было бы сделать решением «в лоб»

Надеюсь всё это делалось из туалета с коммуникатора и посредством VNC
Всего голосов 6: ↑5 и ↓1+4
>>Чтобы драйвер мог подгрузить именно нашу dll, а не системную, пропатчим имена импортируемых модулей, на подготовленные нами.
А что из себя представляет Hak.dll? Это пропатченный ntoskrnl.exe или это ваша кастомная?
Комментарий пока не оценивали0
Упс. Не заметил:
>>Для этого напишем свою dll (или несколько, кому как угодно) с заглушками необходимых функций.
Но на мой взгляд лучше всего делать не в OllyDebug, а связке VMware+VirtualKD -> WinDbg. Если прикрутить pykd это модуль скриптования WinDbg на Python
Комментарий пока не оценивали0
Хм… Интересный изврат :-) Но IDA Pro + VmWare чесслово лучше. Благо что отладчик будет прямо в иде. Есть мануал в нете, как стыковать и настраивать, если что — проконсультирую.

«Алгоритм распаковки я не стал изучать, потому что на вид пожатые данные мне показались похожи на вариант LZW.» — Это apLib, M8ZP8 — тичное начало упакованных им данных.
Всего голосов 1: ↑1 и ↓0+1
Про связку VMWare+IDA я в курсе, для отладки mbr как раз это и использую. За точное название алгоритма спасибо, буду знать. На сколько понял он тоже основан на LZ
Всего голосов 1: ↑1 и ↓0+1
Вот честно скажу: не знаю, основан он на LZ или нет. apLib и дело с концом :-)
Комментарий пока не оценивали0
>>Вот честно скажу: не знаю, основан он на LZ или нет. apLib и дело с концом
apLib? Этож LZ. Встречается в RlPak, PePack и во множестве малвары с обфускацией и заменой констант
Комментарий пока не оценивали0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Показать лучшие за всё время
Изменить настройки темы

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr