Comments 31
Читается на одном дыхании, как детектив. Автору и переводчику огромное спасибо.
Могу посоветовать xylibox.com, француз постоянно пишет о компьютерном криминале, и не просто пишет, а расследует, крякает и все такое.
Наконец, можно провести детальный анализ сетевой активности, используя Wireshark, а также активности в файловой системе и реестре, используя procmon, да и вообще поиграться с работающей программой в Process Explorer.

А просто переименовать и запустить нужную программу нельзя?
// а, ой, это перевод
Можно. но это сработает только в довольно простых случаях (как этот). Более «продвинутые» техники предусматривают анализ процесса по сигнатурам. Встречал протекторы, которые еще проверяли, не установлен ли драйвер мониторинга (емнип, то ли procmon, то ли process explorer ставит такой драйвер при первом своем запуске после перезагрузки; выгрузка драйвера происходит только после перезагрузки системы).
В винде нельзя запустить программу от пользователя, а считать память от администратора?
Я такое пишу всегда в своем протекторе. Но этот метод тоже далек от идеала, любая перекомпиляция программы к примеру ProcessExplorer это по сути новая сигнатура или взять вместо новой более старую, уже могут сигнатуры отвалиться. Так что по строкам более надежней способ, хотя их надо не в открытом виде а в виде хэшей хранить
Я не понял другого — раз вирус в виртуалке, кто мешает запустить wireshark на хосте?

upd: кажется, я как минимум третий об этом спрашиваю…
В данном случае ничего не мешает. Хотя аналитику может быть интересна ещё и сетевая активность внутри виртуалки, которая наружу не попадает.
Эх, на самом же интересном месте закончилось. Какие команды может получать вредонос, какую информацию сливает, что умеет делать — было очень бы любопытно узнать. Но читается и правда на одном дыхании, спасибо.
Ссылка ж приложена — поднять виртуалку да помониторить живой обмен никто не мешает :)
Я обычно запускаю сниффер с хостовой ОС. А то встречал однажды тоже детект, зловред менял логику и ничего не слал по сети.
А не логичнее ли запускать опасный код в виртуалке, а wireshark на основной системе?
Справедливости ради — они просто на эту тему не переживают.

А так детектится по набору и названию оборудования, драйверам для общения с хостом (guest additions), по несколько необычному поведению команд и структур процессора; и как мне кажется, с временными характеристиками можно поиграть. Кстати, давно не видел актуальной статьи на эту тему.
Ну у автора статьи к примеру Process Explorer не запускался, но он же не был этим смущен и просто запатчил нужное место. Точно также можно поступить и с местами детекта виртуалок, благо способов определить виртуалку не так много(я имею ввиду топ пополулярных способов)
Большое спасибо за набор инструментов, спасибо за перевод.
А вот интересно, у него «левые копии» байт в байт совпадают. Неужели нельзя было добавить хотя бы примитивнейший полиморфизм. Ну там, хотя бы nop'ов добавить. Я уж не говорю про, например, реордеринг кода.
Как уже заметили выше, тут «защиту» можно обойти, переименовав файл запускаемой утилиты, если его дефолтное имя находится в черном списке. А вы про полиморфы тут)
Ну, я не спец в кибербезопасности.

Мне казалось, что запутать свой код проще, чем искать паттерны в чужом, для написания сигнатур.
поковырялся. обычный винлокер. прибивает антивирусы, меняет политики в реестре, перегружает винду. шифрует файлы, прибивает оригиналы. требует бабло.
mfc не используется. разве что пару функций ATL динамически — чтобы создать окно с кнопками на основе HTML
а так, вполне безобидный зверек :)
Only those users with full accounts are able to leave comments. Log in, please.