 |
eXeL@B —› Вопросы новичков —› API "AllocateUserPhysicalPages", Ollydbg |
| Посл.ответ | Сообщение |
|
|
Создано: 16 мая 2019 13:38 · Личное сообщение · #1 Доброе время суток, разбирал "троян" (как говорит virustotal), он использует кучу различных API типа FLS, Encode/Decode и т.д. Почти в самом конце вызывает цикл, и AllocateUserPhysicalPages, после которое Ollydbg, завершает отладку. Кто подскажет с чем это связано?  9fbf_16.05.2019_EXELAB.rU.tgz - Снимок7.PNG
 |
|
|
Создано: 16 мая 2019 14:00 · Личное сообщение · #2 параметры вызова этой функции мусор, давай файл или будем изучать криптор или что там на нем по картинкам? |
|
|
Создано: 16 мая 2019 14:58 · Личное сообщение · #3 |
|
|
Создано: 16 мая 2019 15:22 · Личное сообщение · #4 Это кусок адвары с прокси трояном на борту с цифровой подписью комода. Пропусти в отладчике цикл с вызовом этой апи. Когда будешь копать актуальную часть там есть функция резольва поинтеров функций с расшифровкой имен. Дальше не смотрел ибо не зачем. | Сообщение посчитали полезным: ybxtuj |
|
|
Создано: 16 мая 2019 18:36 · Поправил: difexacaw · Личное сообщение · #5 ybxtuj > после которое Ollydbg, завершает отладку. Невозможно. Что бы убедиться я посмотрел NtAllocateUserPhys в wrk(XP) и w10.x64. Процесс не завершается ни при каких условиях, из сервиса возврат при любых параметрах. Добавлено спустя 5 минут Есть лишь один механизм, через который может быть брошено ядром исключение - трассировка описателей. Не исключено что это и используется: ProcessHandle: CONST 0x2D + debugport. ----- vx |
|
|
Создано: 16 мая 2019 21:09 · Личное сообщение · #6 difexacaw К сожалению, мой малый опыт говорит о том, что после запроса в AllocateUserPhysicalPages процесс завершается. adfd_16.05.2019_EXELAB.rU.tgz - 401D5F.png
|
|
|
Создано: 16 мая 2019 21:19 · Личное сообщение · #7 Господин клекр витиевато тебе намекает что это происходит под отладчиком. Если ты глянешь сколько циклов наматывается этот бессмысленный вызов с трешем вместо параметров то это должно навести тебя на мысль что это туда вставлено неспроста бгг. В любом случае скипай это и будет тебе щастье. |
|
|
Создано: 17 мая 2019 01:45 · Личное сообщение · #8 ybxtuj Эта картинка ниочём мне не говорит. Вначале тыкни F2 на KiRaiseUserException(). Если останов не произойдёт тогда выкинь этот отладчик. Добавлено спустя 9 часов 43 минуты Посмотрел этот семпл. Штатно сервис возвращает управление и STATUS_ACCESS_VIOLATION. Никаких исключений нет и быть не может(тк вначале проверки аргументов, а они невалид). Взял плагин scylla, с ним тоже работает как и должно. ----- vx |
|
eXeL@B —› Вопросы новичков —› API "AllocateUserPhysicalPages", Ollydbg |
Для печати