Благодарю всех кто уделил свое время! P.S а почему забанили клерка ?
если есть возможность запускать софт на компе жертвы, то есть вариант программно traceroute сделать и выкинуть на сервер ( можно сжать и в icmp...
ntkernelspawn Курит индус, или по нац-сти индус? :-) Velheart _ttp://ifolder.ru/23582380 такой же трикс только с WriteFile ? Или нет ?
https://community.qualys.com/blogs/securitylabs/2011/05/09/analysis-malware-win32rimecudb Inside this junk code, the malware implements a very...
ужос, количество скачиваний каждую секунду + ~70
imho, Я передвигаюсь на bmw, и буду менять только на bmw, хочу жить в берлине как минимум. Мне кажется победили они. Тогда в 1945 мб мы и...
отладчик религия запрещает запускать :-) А по делу, сначала подключи отладчик, потом в начале Payload поставь 0xCC и отлаживай себе на здоровье!
В натуре, прошу прощения. На чистой виртуалке EP чистый. Сорри! :(
Есть вот такой код: [img] Вызывается следующим образом : sub_BCA8505 sub_BCA8505 proc near sub_BCA8505 sub_BCA8505 var_18= dword ptr...
Если это релоки, то может кто подсказать есть ли хорошее описание этой фичи пе формата ?
0BC95C30 75 73 65 72 33 32 00 00 47 52 41 42 42 45 44 20 user32..GRABBED 0BC95C40 44 41 54 41 00 00 00 00 25 73 25 73 25 73 00 00...
не совсем. Джамп указывает именно на функционал
Да конечно смотрел, вариант с дллкой которая в dwReason == DLL_P_A я уже рассмотрел, джамп указывает на тело самого файла Memory map Address...
Только на этой, и пару раз встречалось в билдах спайай и зевса. Упаковщик один и тот же видать.
Исключено, на машине нет недоантивирусов :-) P.S. на второй машине так же, появляется JMP в точке входа.
o_0 ollydbg 2 CPU Disasm Address Hex dump Command Comments 004013C9 E9 DB E9 004013CA...
Выложил : http://ifolder.ru/23348981 ( pass infected_wasm ) dll.exe - tdl4 dropper
Как и где это посмотреть? p.s аттачи не работают тут ? Кстати эту фишку (с подменой байтов в ЕП) я встречал в зевсе, спайай и в этом бинарнике(тдл4)
В ольке первая инструкция в точке входа JMP 0BCB5C67 хотя в образе на диске ( в файле ) в точке входа стандартный пролог push ebp mov ebp,esp...
При загрузке в ольку в EP я вижу 004013C9 > $- E9 99488B0B JMP 0BCB5C67 004013CE . FF15 74504000 CALL DWORD PTR DS:[<&MSVCRT.iswgraph>] ;...
Имена участников (разделяйте запятой).