как узнать, чем запакован троян Assassin?

Neonix
> Оля ругается что не 32-х битный файл, но выдает вроде бы осмысленный код.
это осмысленный код? hiew выдает гораздо более осмысленный:
.00010010: 9AFFFF0000 callf VbRuN300.100

ольга по жизни 16-бит даже дизасмить не мога, не говоря уж за отладку. 16 бит это совсем другой мир. берите софт-айс или откопайте на свалке турбодебаггер.

 

kaspersky
в принципе согласен. я глянул бегло на "приличные" функции типа GetVersionExA и давай кричать "Оля молодец". посмотрел лучше-ужаснулся.

За Турбодебаггером на свалку ходить не придется, он есть на Васме.. Но формат Assassin он в отличае от Ольки не кушает.
Васиковский дебаггер WKTVBDebugger(тоже лежит на Васме) при попытки загрузить этот зловонный разлагающийся(NE это NEшутки) троян, просто падает.

Вобщем, как сказал Крис, Декомпиль-последний рубеж обороны!

 

Согласен, Ольга послана не от богов и имеет изъяны(хотя я как то принибригаю этими изъянами). Но сдругой стороны кто мешает самому написать дебаггер? Заточить под себя, а еще лучше под анализ малверя. Типо паттернов для создания сигнатур? Хотя нет, лучше написать драйвер, который будет мониторить винду, и в нужный момент всплывать(типо сайс) но только кернел то не нужен, соответственно и интерфейсом проблем не будет. Моно привентить RegMon, FileMon ... И собственно говоря все...

 

Ox8BFF55

никто не сомневается, что ты гуру.. "Оля не от богов, ну и ладно, зато я-бог, напишу свой дебаггер без изъянов"

 

))
Увы я не бог. Но отладчик написать на васме может любой, почему то я в этом уверен...

 

П.С. по крайней мере ring-3

 

Ox8BFF55
> Согласен, Ольга послана не от богов и имеет изъяны
вообще-то, это скорее изъян винды, где 16 и 32 битные отладчики "кушают" разные интерфейсы.

> (хотя я как то принибригаю этими изъянами).
это потому что вы не отлаживате 16-битные приложения. 64-битные судя по всему не отлаживаете тоже.

> Но сдругой стороны кто мешает самому написать дебаггер?
для 16-битных приложений?

> Заточить под себя, а еще лучше под анализ малверя.
> Типо паттернов для создания сигнатур?
плагин написать не проще?

> Хотя нет, лучше написать драйвер, который будет мониторить винду,
16-битный драйвер, да? может проще поставить 16-битную винду и ее отхачить? при ее размере и нынешних технологиях реверса это ни разу не проблема

> Моно привентить RegMon, FileMon ... И собственно говоря все...
речь идет за 16-битную аплеуху, написанную на древнем бацике, который представляет из себя чистый интерпретатор. сталкивались с таким? вот если да, давайте говорить за методы реверса 16-битных бациковских приложений, если нет - боюсь, что ваши советы нам ничем не помогут.

 

Какое дело винды до отладчиков? Процесс? процесс, дебажем процесс ? дебажем и точка.

В принципе можно и так.... Насколько мне известно для Иды пишут скрипт, но это только для сигнатур...

Крис вы меня несовсем поняли. Для реверсинга вирусов, восстанавливать исходной код не нужно... Соответственно на просто делать остановки на конкретных точках(то и есть на вызовах Апи функций). Сдесь придется что более извращенное делать. То и есть например останавливаться на вызовах CreateFile, но здесь придется придется делать анализ параметров, думаю идея понятна...

В любом случае малваре, как правило(а точнее по факту) состоит из шаблонных алгоритмов, и чем ниже их разбивать, тем должен быть больше анализ, соответсвено и покрытие детектирования вредноностной активности растет. Конечно на словах это выглядит запутано, но на деле...

 

Ox8BFF55
>> вообще-то, это скорее изъян винды, где 16 и 32 битные
>> отладчики "кушают" разные интерфейсы.
> Какое дело винды до отладчиков?
скажите, а вы пробовали написать свой отладчик или просто теоритизируете? если пробовали то вроде бы должны по идее знать, что отдадчики (в частности ольга) используют dbg api от винды, порождая отладочный процесс средствами винды и дожидаясь от нее отладочных нотификаций.

и этот "муханизм" 16-битных приложений не поддерживает. запустите мне отладчный 16-битный процесс, а?

> Процесс?
16-битный.

> процесс, дебажем процесс ? дебажем и точка.
как мы его будем дебажить? поконкретнее пожалуйста.

>> плагин написать не проще?
> В принципе можно и так.... Насколько мне известно для
> Иды пишут скрипт, но это только для сигнатур...
ида как бы не совсем отладчик. и уж точно не отладчик 16-битных приложений.

какие сигнатуры, о чем вы? если это флирт, то там на скрипт ни разу не похоже.


> Для реверсинга вирусов, восстанавливать исходной код не нужно...
согласен. исходный код не нужно. но там ведь и машинного кода нет потому нам надо перевести байт-код в некоторое читабельное состояние или отбрякать нутно байика, чтобы понять что вирус вообще делает.

> Сдесь придется что более извращенное делать. То и есть например
> останавливаться на вызовах CreateFile,
еще раз!!! речь идет о 16-битном коде!!! CreateFile появилась только в 32-битной винде (ну или точнее в win32s).

> но здесь придется придется делать анализ параметров, думаю идея понятна...
идея совсем не понятна. 16-битная винда сильно отличается от 32-битной. намнго сильнее, чем 64-битная от 32-битной.

> Конечно на словах это выглядит запутано, но на деле...
вот и покажите нам это дело на _данном_ примере

 

А что приципится отладчиком можно только CreateProcess?

детект малваря, а причем здесь флирт?

Ну как бы и для байт кодов бывают отладчики, то и есть дебагеры идут не только для ассемблера....

Просто я написал пример на функции, Но бряк моно ставить сколько влезит(разумеет программных)

Смотря какой из двух вариантов выбрать.
1) DEBUG_EVENT
2) То ко вот не надо рассказывать что не знаешь как кернел дебагеры работают(понятно что нужен только джижок)

Набором апи? ))

 

TermoSINteZ
+1
Читаю и удивляюсь, что за бред идёт.

 

давно так не ржал ))бред невообразимый

 

Ox8BFF55
> А что приципится отладчиком можно только CreateProcess?
как бы вы не цеплялись вы используете отладочные механизмы, предоставленные ядром винды, и они поддерживают только 32-разрядные приложения. 16-разрядные приложения приходится отлаживать совсем по другому. и дизам там тоже другой. да там все другое блин. как на другой планете.

>> Иды пишут скрипт, но это только для сигнатур...
> детект малваря, а причем здесь флирт?
детект малвари идой? ну в принципе да, это можно. но кому нужно?

> Ну как бы и для байт кодов бывают отладчики,
бывают. если бы еще они и работали. пример действующего отладчика в студию, плз.

>> еще раз!!! речь идет о 16-битном коде!!! CreateFile появилась
>> только в 32-битной винде (ну или точнее в win32s).
> Просто я написал пример на функции, Но бряк моно ставить
> сколько влезит(разумеет программных)
пример не в кассу. в кассу был бы пример 16-разрядной функции. к тому же 16-разряные функции из кернела при работе с бациком как бы не сильно полезны. и там лучше ставить бряки на функции бацика. типа сравнения строк и все такое. а для этого их необходимо найти. экспорта там нету. это кишки интерпретатора. и трахаться с ним можно очень много.

как именно их искать - нууу... берем бацик (находим на свалке) пишем программу: ты меня уважаешь: дааааааа и ниххххх. после чего ищем ниххххх в памяти айсом или туро дебаггером. ставим аппаратный бряк. смотрим кто ее читает. выкуриваем фукцию сравнения строк из норы в бациковой dll. ну и так постепенно раздербанивем ее на куски. после чего можно ставить бряки на все что нам нужно.

>> как мы его будем дебажить? поконкретнее пожалуйста.
> Смотря какой из двух вариантов выбрать.
> 1) DEBUG_EVENT
чувак, ты по русски читать умеешь? говорят же тебе 16-разрядный код. какие в нем дебаг эвенты?! их там отродясь не было

> 2) То ко вот не надо рассказывать что не знаешь как кернел дебагеры
> работают(понятно что нужен только джижок)
ну и останови мне сайсер в 16-разрядном коде по int 3 например soft-ice стоппился, кстати.

>> идея совсем не понятна. 16-битная винда сильно отличается от 32-битной.
>> намнго сильнее, чем 64-битная от 32-битной.
> Набором апи? ))
ну как бы начнем с того, что в 16 есть только одно адресное пространство общее для всех, нет многозадачности (типа один процесс) и там много чего еще нет

 

Ox8BFF55 хорошо покурил ты в последний рабочий день недели так сказать.

Ололо, спасибо посмешил.

 

ааа... лол )) не просто лол

 

Прирываний нету?

TRW2000 ??

http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q182559&ID=KB;EN-US;Q182559

 

Думаете мелкомягкие врут?

 

Ox8BFF55
наконец-то. хоть одно попадение по мишени. правда случайное. таймер под win3 был едва ли единственным средством организации пародии на многозадачность. только их там было всего четыре (кажется, могу и соврать).

ЗЫ. а що TRW2000 ? разговор ведь не о том, что под 16 бит отладчиков вообще нет. я уже говорил айс и тд рулят. а ваш trw только бсодит. к тому же еще и 9x себе требует. вот щас все брощу да, буду 9x ставить.

ЗЫ.ЗЫ. ну и покажите мне как используя VdmDbg.dll приаттачиться к 16-бит процессу и получить от него дебаг евент.

 

Гм?
В Win3 имелась обычная кооперативная многозадачность. Переключения по таймеру не было. Оконные приложения отдавали друг другу управление, например, по GetNextEvent().