Комментарии 6
Статья топ, пиши ещё
Обфускация, то есть получение APIшек во время выполнения по хэшам их имен, конечно, усложняет ручной анализ. С другой стороны соответствующий код настолько уникален, что "цепляться" за него для детектирования - одно удовольствие ;-) Даже у Zloader есть за что уцепиться, хотя там "пейсатели" действительно постарались...
В чистом Python скрипте лучше использовать библиотеку pefile, чтобы работать с виртуальными оффсетами да и дергать все удобно от секций до блобов. Так же для полной автоматизации я использую Capston+Unicorne, чтобы автоматически собирать ключи, указатели на зашифрованные массивы и т.д. Ну это если нужно писать универсальный декриптор.
Всё так! Про pefile не стал писать специально, это больше вводная поп-статья, все по минимуму ) Да и признаться, не люблю я pefile ) Про unicorn писал в статье-гайде по VMProtect, отличный эмулятор, но и он имеет ограниченные возможности. Ну и для написания универсального декриптора все же придется пореверсить сначала )
Вообще же с REvil накануне произошла необъяснимая и темная история, они в одночасье исчезли из паблика, а у последней и самой крупной жертвы – IT-компании Kaseya таинственно появился универсальный декриптор. Совпадение? Не думаю! Такое впечатление, что к хулиганам на детской площадке вышел местный авторитетный и крепкий дядя… "Дядь, мы все поняли, сейчас только бычки за собой подберем…". И хулиганы вроде как разбежались
Больше похоже на то как "жертва" спалилась, а не какой-то там дядя настучал каким-то сторонним хулиганам.
Средства автоматизации анализа вредоносных программ