Исследуем malware самостоятельно

Сейчас на форуме: vasilevradislav, Magister Yoda, site-pro, Rio (+4 невидимых)

Посл.ответ	Сообщение
Alinator3500 Ранг: 46.8 (посетитель), 20thx Активность: 0.04↘0 Статус: Участник	Создано: 05 апреля 2013 16:46 · Личное сообщение · #1 С анализом файлов все просто. http://fumalwareanalysis.blogspot.ru/p/malware-analysis-tutorials-reverse.html by "Dr. Xiang Fu" Code: Malware Analysis Tutorial 1- A Reverse Engineering Approach (Lesson 1: VM Based Analysis Platform) Malware Analysis Tutorial 2- Introduction to Ring3 Debugging Malware Analysis Tutorial 3- Int 2D Anti-Debugging . Malware Analysis Tutorial 4- Int 2D Anti-Debugging (Part II) Malware Analysis Tutorial 5- Int 2D in Max++ (Part III) . Malware Analysis Tutorial 6- Self-Decoding and Self-Extracting Code Segment . Malware Analysis Tutorial 7: Exploring Kernel Data Structure . Malware Analysis Tutorial 8: PE Header and Export Table . Malware Analysis Tutorial 9: Encoded Export Table . Malware Analysis Tutorial 10: Tricks for Confusing Static Analysis Tools . Malware Analysis Tutorial 11: Starling Technique and Hijacking Kernel System Calls using Hardware Breakpoints . Malware Analysis Tutorial 12: Debug the Debugger - Fix Module Information and UDD File . Malware Analysis Tutorial 13: Tracing DLL Entry Point . Malware Analysis Tutorial 14: Retrieve Self-Decoding Key . Malware Analysis Tutorial 15: Injecting Thread into a Running Process . Malware Analysis Tutorial 16: Return Oriented Programming (Return to LIBC) Attack . Malware Analysis Tutorial 17: Infection of System Modules (Part I: Randomly Pick a Driver). Malware Analysis Tutorial 18: Infecting Driver Files (Part II: Simple Infection) . Malware Analysis Tutorial 19: Anatomy of Infected Driver Malware Analysis Tutorial 20: Kernel Debugging - Intercepting Driver Loading . Malware Analysis Tutorial 21: Hijacking Disk Driver Malware Analysis Tutorial 22: IRP Handler and Infected Disk Driver Malware Tutorial Analysis 23: Tracing Kernel Data Using Data Breakpoints Malware Analysis Tutorial 24: Tracing Malicious TDI Network Behaviors of Max++ Malware Analysis Tutorial 25: Deferred Procedure Call (DPC) and TCP Connection Malware Analysis Tutorial 26: Rootkit Configuration Malware Analysis Tutorial 27: Stealthy Loading of Malicious Driver Malware Analysis Tutorial 28: Break Max++ Rootkit Hidden Drive Protection Malware Analysis Tutorial 29: Stealthy Library Loading II (Using Self-Modifying APC) Malware Analysis Tutorial 30: Self-Overwriting COM Loading for Remote Loading DLL Malware Analysis Tutorial 31: Exposing Hidden Control Flow Malware Analysis Tutorial 32: Exploration of Botnet Client Malware Analysis Tutorial 33: Evaluation of Automated Malware Analysis System I (Anubis) Malware Analysis Tutorial 34: Evaluation of Automated Malware Analysis Tools CWSandBox, PeID, and Other Unpacking Tools Делаем все по шагам, и malware у нас в кармане. Используйте Virustotal только как дополнение, а не как основу. Там палятся только школьники. http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA302 - Malware Hunting with the Sysinternals Tools А этот видео урок надо знать наизусть, от этого анализа спрятаться очень сложно, следовательно это ваше основное оружие. (К руткитам не относится). \| Сообщение посчитали полезным: neox0r

ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 05 апреля 2013 17:18 · Личное сообщение · #2 Alinator3500 Вот если бы Вы сами взяли перевели на великий и могучий сей туториал и дали ссылку, вопросов бы не возникло! А так, половина аудитории будет сидеть со словарем и втыкать, что там пишет доктор Dr. Xiang Fu явно китайского(японского, корейского-нужное подчеркнуть) происхождения.
hors Ранг: 136.0 (ветеран), 360thx Активность: 0.27↘0.14 Статус: Участник Qt Developer	Создано: 05 апреля 2013 17:28 · Личное сообщение · #3 ELF_7719116 пишет: Dr. Xiang Fu явно китайского(японского, корейского-нужное подчеркнуть) происхождения. Он профессор американского уневерситета. А следовательно английский знает хорошо. ----- http://ntinfo.biz \| Сообщение посчитали полезным: ajax
neox0r Ранг: 1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 05 апреля 2013 17:38 · Личное сообщение · #4 Спасибо, достаточно интерестно будет почитать, даже на инглише
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 05 апреля 2013 17:40 · Поправил: ELF_7719116 · Личное сообщение · #5 hors пишет: А следовательно английский знает хорошо. Да я как-то не сомневаюсь, что Dr. Xiang Fu хорошо знает английский(т.к. статья на нем написана). Просто новичкам, гораздо удобней будет, чтоб выглядело так: Code: 1 xor eax, eax # EAX = 0 2 push offset l1 # запихиваем адрес обработчика 3 push d fs:[eax] # 4 mov fs:[eax], esp # добавляем новое исключение 5 int 2dh # прерывание (надо жать shift+f9) 6 inc eax # EAX = 1, т.к. взломщик был пьяный и нажал F7(F8) 7 je being_debugged # К.О. сообщает, что щас будет MessageBox(дебаггер ис детектед) 8 ... 9 l1: xor al, al # и все таки я занопил ко всем чертям проверку 10 ret Ничего против не имею. Нормальный туториал - сам читаю. \| Сообщение посчитали полезным: Abraham
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 05 апреля 2013 17:40 · Личное сообщение · #6 ELF_7719116 Половина отечественной аудитории до сих пор в ступоре от русскоязычных туторов Внекрылова. Если переводить, то нужно профессионально, с повтором действий, и желательно с видео, а то что переведут "дословно" оттуда, ни кто не поймет, т.к. там и английский вроде не ахти. \| Сообщение посчитали полезным: DimitarSerg
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 05 апреля 2013 17:57 · Личное сообщение · #7 Vovan666 ес-но. если переводить. но, кто исследует малварь, с ангельским дружат наверняка ----- От многой мудрости много скорби, и умножающий знание умножает печаль
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 05 апреля 2013 18:15 · Личное сообщение · #8 Из тутора: Challenge of the day: Run the Max++ malware, can you describe its network activities? Представляю если кто-то просто скачал архив, распаковал, переименовал файл в .exe и запустил с правами админа...
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 05 апреля 2013 18:42 · Поправил: ajax · Личное сообщение · #9 ELF_7719116 "сдуру ума можно и х... сломать" ----- От многой мудрости много скорби, и умножающий знание умножает печаль
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 05 апреля 2013 19:46 · Поправил: Dr0p · Личное сообщение · #10 Ну и какого года сия дока, судя по оглавленью дето ~2005 Главное что писан сей баян Dr. блабла. Типо это придаёт элитный вид пустым баянам.
Alinator3500 Ранг: 46.8 (посетитель), 20thx Активность: 0.04↘0 Статус: Участник	Создано: 05 апреля 2013 19:52 · Личное сообщение · #11 Спасибо за хороший прием поста. Я не эксперт в Английском, и тем более в Испанском. Но я учусь, и пытаюсь читать оригинал. Желание знать все (многое) и говорить только на Русском не осуществимо (в моем сознании). Уделите 1 час в день на изучение Английского/Испанского в день, и перед вами откроются многие секреты интернета.
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 05 апреля 2013 20:00 · Личное сообщение · #12 Dr0p Абы что ляпнуть. Че не сидится на аверлабе? Дока 2012 года, малвар староват, но для новичков пойдет. \| Сообщение посчитали полезным: Dr0p
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 05 апреля 2013 20:01 · Личное сообщение · #13 Alinator3500 Учите доки по архитектуре, софтверной и железячной, а не всякую хуиту!)
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 05 апреля 2013 20:02 · Личное сообщение · #14 Alchemistry Мониторим клаб в поисках годностей
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 05 апреля 2013 20:18 · Поправил: Alchemistry · Личное сообщение · #15 Инде, заведи себе бложек - РПЦ.blogspot.ru. Или твитер - @Malfoy. Я тебя даже зафоловю. В цикле понятно и для студентов разжевана матчасть которая как раз по теме, читай уж сначала прежде чем критиковать. We assume that you have some basic understanding of X86 assembly, debugging, operating systems, and programming language principles. Instructors are welcome to use this tutorial and integrate it in computer science courses such as computer architecture and operating systems. ZeroAccess там правда 2010 года и с тех пор изменился целиком, но для начинающих это очень хороший экскурс.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 05 апреля 2013 20:23 · Личное сообщение · #16 Alchemistry > читай уж сначала прежде чем критиковать. Что читать, про отладочный шлюз(0x2D) , или быть может про какие то трейсы.. мну открыл "Exposing Hidden Control Flow" и сделал вывод что это всё г0вно. А нубью не следует в сие лазать, учите азы(тебя это тоже, друг мой касается).
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 05 апреля 2013 20:37 · Личное сообщение · #17 Dr0p пишет: Что читать, про отладочный шлюз(0x2D) , или быть может про какие то трейсы Очевидно это единственная информация из статьи, которую ты смог почерпнуть из моего поста выше. Учи английский! Персонально для тебя просил перевести (как знал!)
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 05 апреля 2013 20:39 · Личное сообщение · #18 Dr0p пишет: мну открыл "Exposing Hidden Control Flow" и сделал вывод что это всё г0вно И что же там не так? Ожидал там увидеть свою маршрутизацию с сепшенами и микодом? В софте нужен код который работает, а не который создается для понтов на никому не нужном васме. Ядро то подучил, дружище, или все также нубишь?
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 05 апреля 2013 20:41 · Личное сообщение · #19 ELF_7719116 Мну тебя впервые видит. И посты я читаю только знакомых людей, за иключеньем первого. Ибо такого спама тонны, на всё времени не хватит.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 05 апреля 2013 20:43 · Личное сообщение · #20 Alchemistry > Ядро то подучил, дружище, или все также нубишь? Есно, ёба.
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 05 апреля 2013 20:47 · Поправил: ajax · Личное сообщение · #21 эх, clerk'a уже нет c его злостным асмокодом btw, некогда было интересно вкурить в apc и тп. жаль, не пригодится, в моем обычном прикладном ----- От многой мудрости много скорби, и умножающий знание умножает печаль
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 05 апреля 2013 20:52 · Личное сообщение · #22 Dr0p Да че то не похоже, как нес херню так и несешь. Вот например знатный бред вещал давеча http://wasm.ru/forum/viewtopic.php?id=47510&p=1 РПЦ, ДХМ, есчо сочетания на несколько букв - вот это вся твоя нынешняя матчасть. В курсе, который ты обосрал, рассмотрен ZA, про который ты ничего внятного сказать не можешь. Иди уже, компилируй нубье на васме - там как раз супер темы для тебя "Чувство одиночества - болезнь мозга ?" и "Зажигалка".
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 05 апреля 2013 21:22 · Поправил: Dr0p · Личное сообщение · #23 Alchemistry Мне они интересны, а не ваш детский сад. Мне всё тут ваше давно уже не интересно. И тут мну отписал своё мненье по сабжу, так как он малварный типа. Играйте дальше в своей песочнице :D)))
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 05 апреля 2013 21:32 · Личное сообщение · #24 Dr0p Ок, так и запишем - очередной слив Инде. Ты главное там не сторчись совсем. Такой генератор лулзов и движухи будет жалко потерять.
Alinator3500 Ранг: 46.8 (посетитель), 20thx Активность: 0.04↘0 Статус: Участник	Создано: 05 апреля 2013 23:23 · Личное сообщение · #25 Dr0p Залей мне пару своих наработок (malware) в личку, может ты реально настолько крут что мне стоило бы обращаться на Вы.
Prosper-H Ранг: 0.1 (гость), 3thx Активность: 0=0 Статус: Участник	Создано: 24 апреля 2013 04:09 · Поправил: Prosper-H · Личное сообщение · #26 Для тех кого интересует перевод: http://forum.reverse4you.org/showthread.php?t=1327 \| Сообщение посчитали полезным: Dart Sergius, BAHEK, SReg
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 24 апреля 2013 05:12 · Личное сообщение · #27 Prosper-H вы спаситель крабов ps надо английский подучить все таки...
matrix Ранг: 13.0 (новичок), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 24 апреля 2013 05:46 · Личное сообщение · #28 Сделайте перевод одним архивом и ссылку сюда
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 24 апреля 2013 07:40 · Поправил: ELF_7719116 · Личное сообщение · #29 Я пассвордом разжился на архив с Max++ (http://www.mediafire.com/?epws9on5k104npi). Кому надо - скину в личку. Если надо всем - внизу прикреплю. NikolayD пишет: там комментарии есть ))) Для тех, кто не увидел в комментариях ~~infected666f~~
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 24 апреля 2013 08:21 · Личное сообщение · #30 ELF_7719116, там комментарии есть )))

Для печати