Реверсинг драйвера

Тема в разделе "WASM.BEGINNERS", создана пользователем Adamant, 12 июл 2018.

  1. Adamant

    Adamant New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2018
    Сообщения:
    9
    Привет!
    Реверсирую малаварь, по мимо основного exe модуля в ней оказался драйвер, в котором реализована криптография. Собственно её мне нужно вскрыть (стянуть алгоритм для обмена данными). OllyDBG'ом под него не подлезть, через IDA долго (по крайней мере мне, т.к. опыта в драйверах мало).
    Каким образом можно быстро и в более-менее читабельном виде получить алгоритм драйвера?
    Есть ли какие то плагины IDA для этого дела?
    Спасибо!:thank_you:
     
  2. superakira

    superakira Guest

    Публикаций:
    0
    Эх....
    В ида ты можешь через хэксрейс вытащить. Потом свести с динамикой (те сверить что ты правильно перевел на С/С++).
    Отлаживать если то в виндбг.
     
  3. Adamant

    Adamant New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2018
    Сообщения:
    9
    можно подробнее про "через хэксрейс вытащить"? :)
     
  4. superakira

    superakira Guest

    Публикаций:
    0
    это декомпилятор в ида. в виде плагина. его может у тебя и не быть. выбираешь функцию. нажимаешь ф-5. матан он прилично разбирает - таблицы, математика итд.

    ну и это... гугл никто не отменял.
     
  5. Adamant

    Adamant New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2018
    Сообщения:
    9
    Попробовал этот плагин. Да, код стал читабельнее, но слишком много математики и мусора там. Т.е. уйдет слишком много времени пока разберусь что к чему и состряпаю алгоритм.
    Какие есть варианты перехватить значение внутри выполняемого драйвера?
     
  6. zerodawn

    zerodawn Member

    Публикаций:
    0
    Регистрация:
    16 янв 2018
    Сообщения:
    94
    Выложи алгоритм здесь, может узнаем его. Вполне вероятно, что это что-то из широкораспространенного. Либо распространенный поточный шифр, либо блочный. Подозреваю, что там либо RC4, либо AES ( очень часто юзаются в малвари ).

    Также выложи плиз XREF'ы к нему. CTRL + X и все вызовы где он вызывается. ( скрин кода, тоже в Hex-Rays ), + на Ctrl + n переименуй функции алгоритма как "unknownalgo1", "unknownalgo2" и т.д, чтобы проще читать было код где он вызывается
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Ну и где же драйвер ??
     
  8. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.076
    обычно в малварях обратная дешифровка невозможна == чрез дравер доступ к файлу не блокируется, дабы криптор не палился юзвером. И в итоге в файле мусорка получается.. в сущности мусорка легко может получаться и на уровне всего логического раздела.
    Если хочешь узнать симметрический шифр, то вытащи из дравера ключ и протестируй его на разных шифрах, сравнивая хэш-суммы с эталонным шифротекстом.