Comments 31
Читается на одном дыхании, как детектив. Автору и переводчику огромное спасибо.
Могу посоветовать xylibox.com, француз постоянно пишет о компьютерном криминале, и не просто пишет, а расследует, крякает и все такое.
Наконец, можно провести детальный анализ сетевой активности, используя Wireshark, а также активности в файловой системе и реестре, используя procmon, да и вообще поиграться с работающей программой в Process Explorer.
А просто переименовать и запустить нужную программу нельзя?
// а, ой, это перевод
Можно. но это сработает только в довольно простых случаях (как этот). Более «продвинутые» техники предусматривают анализ процесса по сигнатурам. Встречал протекторы, которые еще проверяли, не установлен ли драйвер мониторинга (емнип, то ли procmon, то ли process explorer ставит такой драйвер при первом своем запуске после перезагрузки; выгрузка драйвера происходит только после перезагрузки системы).
В винде нельзя запустить программу от пользователя, а считать память от администратора?
Я такое пишу всегда в своем протекторе. Но этот метод тоже далек от идеала, любая перекомпиляция программы к примеру ProcessExplorer это по сути новая сигнатура или взять вместо новой более старую, уже могут сигнатуры отвалиться. Так что по строкам более надежней способ, хотя их надо не в открытом виде а в виде хэшей хранить
UFO just landed and posted this here
Эх, на самом же интересном месте закончилось. Какие команды может получать вредонос, какую информацию сливает, что умеет делать — было очень бы любопытно узнать. Но читается и правда на одном дыхании, спасибо.
Я обычно запускаю сниффер с хостовой ОС. А то встречал однажды тоже детект, зловред менял логику и ничего не слал по сети.
А не логичнее ли запускать опасный код в виртуалке, а wireshark на основной системе?
Имхо виртуалка детектится без проблем.
А разработчики Windows и не знали.
UFO just landed and posted this here
Да, было бы интересно почитать.
Вот очень годная статья на тему: www.xakep.ru/post/58104/. Правда всё равно немного давнишняя.
Ну у автора статьи к примеру Process Explorer не запускался, но он же не был этим смущен и просто запатчил нужное место. Точно также можно поступить и с местами детекта виртуалок, благо способов определить виртуалку не так много(я имею ввиду топ пополулярных способов)
Большое спасибо за набор инструментов, спасибо за перевод.
А вот интересно, у него «левые копии» байт в байт совпадают. Неужели нельзя было добавить хотя бы примитивнейший полиморфизм. Ну там, хотя бы nop'ов добавить. Я уж не говорю про, например, реордеринг кода.
Никто не разгадал случаем, что находится в PNG?
UFO just landed and posted this here
может фоточку меняет в контактике жертвы? )
эх вспоминаю как в открытую демонстрировали себя вирусы.
fishki.net/1212151-kompjuternye-virusy-jepohi-ms-dos.html
эх вспоминаю как в открытую демонстрировали себя вирусы.
fishki.net/1212151-kompjuternye-virusy-jepohi-ms-dos.html
Мда, MFC-вирусы… печалька. Малварщики уже не те.
поковырялся. обычный винлокер. прибивает антивирусы, меняет политики в реестре, перегружает винду. шифрует файлы, прибивает оригиналы. требует бабло.
mfc не используется. разве что пару функций ATL динамически — чтобы создать окно с кнопками на основе HTML
а так, вполне безобидный зверек :)
mfc не используется. разве что пару функций ATL динамически — чтобы создать окно с кнопками на основе HTML
а так, вполне безобидный зверек :)
Черт возьми — исследование — ТОРТ! Респект!
Sign up to leave a comment.
0day Wednesday – исследование новейшего вредоноса