CyberEdRussia Jul 25 2018 at 15:37

История одного вскрытия: как мы ревёрсили Hancitor

7 min

CyberEd corporate blogReverse engineering*Studying in IT

+30

Comments 8

vesper-bot Jul 26 2018 at 09:55

Админки скорее всего проверяют user-agent или ещё какие-либо параметры, которые по умолчанию браузер передает на сайт при отсутствии куков для него. И если вдруг там что-то есть, отдается не команда вирусу, а текст для отвода глаз.

CyberEdRussia Jul 26 2018 at 15:38

Действительно, многие админки так и делают. Только для отвода глаз они возвращают обычно HTTP header с 404 ошибкой.

mkvmaks Jul 26 2018 at 12:03

Здравствуйте. Один из вирусов с которым сам столкнулся, вирус-вымогатель «Скарабей» (Scarab). Было бы очень интересно про него почитать и как от него спастись.

CyberEdRussia Jul 26 2018 at 17:02

Добрый день! Вы можете скинуть самого зловреда, либо его мдпятку, чтобы мы его посмотрели.

iShkval Jul 26 2018 at 12:03

Спасибо за интересный материал! Голосую за Panda, шифровальщики, если я не ошибаюсь, вроде как уже разбирали здесь подробно когда был самый бум Petya и WannaCry, а вот Панду бы было интересно посмотреть!

Dusty77 Jul 26 2018 at 12:41

Хороший реверс, хотелось бы увидеть пример распаковки зверька упакованного vmprotect

CyberEdRussia Jul 27 2018 at 13:38

vmprotect — комерческий продукт и его реверс будет не этичен. К тому же процесс распаковки таких протекторов очень утомительнаый и и однообразный, поэтому не хочется на него тратить время. Если интересно что делает «зверёк», защищённый таким протектором, то нужно настроить сэндбокс таким образом, чтобы его невозможно/очень трудно было обнаружить и прогнать в динамике.

Dusty77 Jul 27 2018 at 19:14

Согласен насчет этичности. Но пример распаковки даже приватной виртуальной машины был бы интересен. В сэндбоксе всю функциональность не увидишь.