Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Для программистов и разработчиков » Системное программирование
Страницы: 1
RSS
Определить чем запакован троян
 
#1
Это нравится:0Да/0Нет
26.06.2007 12:25:35
Есть у меня троян sdbot, который был внедрен злоумышленником на компьютер жертвы. Понятно, что исходники sdbot нарыть в интернете не проблема и соответственно он может быть модифицирован под свои задачи. Хочется дизасемблировать этого трояна и посмотреть чего там злоумышленник добавил своего. Но есть проблема - сам exe-шник запакован чем-то. PEiD со всеми последними сигнатурами не может определить чем запакован exe файл, хотя при глубоком анализе выдает, что есть признаки упаковки файла. Открытие файла в дизасемблере сразу выдает все признаки запакованности файла.

Вопрос к спецам - чем сейчас в вирмейкер среде принято надежно упаковывать трояны? Или подскажите чем еще можно проанализировать exe файл чтоб определить тип упаковщика и соответственно потом попытаться распаковать. Уж очень не хочется настраивать виртуальную машину с SoftICE чтоб потом построчно дизасемблерить код.
 
 
 
#2
Это нравится:0Да/0Нет
27.06.2007 16:35:08
не обязательно что троян запакован стандартной прогой. Упаковщик можно самому написать, это не очень сложная задача, а вот проги никакие тогда не определят(как в твоем случае).

Попробуй продебажыть файл. З самого начала увидишь розпаковщик....посмотришь алгоритм(если кто-то писал с нуля то не должно бить сложно - без всяких переходов на середину команд, динамического декодирования и.т.п).
 
 
 
#3
Это нравится:0Да/0Нет
28.06.2007 13:51:26
Цитата
Black Corsair пишет:
без всяких переходов на середину команд, динамического декодирования и.т.п

В том-то и дело, что это там имеется. :) Соответственно надо сидеть и долго-долго все это расковыривать руками... :(
 
 
 
#4
Это нравится:0Да/0Нет
30.06.2007 21:55:19
попробуй aspack думаю это один из самых распростроненных, чаще всего им пакуют.
или еще (это конечно только предположение) все эти паковщики при запуске екзешника распаковываются в оперативу, может есть какая-то возможность извлечь именно оттуда саму прогу? это так пища для размышлений
 
 
 
#5
Это нравится:0Да/0Нет
02.07.2007 15:13:34
Цитата
Crypto пишет:
все эти паковщики при запуске екзешника распаковываются в оперативу, может есть какая-то возможность извлечь именно оттуда саму прогу? это так пища для размышлений

Возможность конечно есть но только щас никакая норм защита полностью файл не распаковываются, какая часть(функция) нужна, та и распаковываются.

Цитата
Crypto пишет:
попробуй aspack думаю это один из самых распростроненных, чаще всего им пакуют.
вообще да....но потому его и видит любой сканер.

Цитата
ak_ пишет:
Соответственно надо сидеть и долго-долго все это расковыривать руками...
наверно надо ;-)
 
 
 
#6
Это нравится:0Да/0Нет
02.07.2007 23:40:43
Вообще у вирусников и троянщиков очень популярен пакер FSG.
 
 
 
#7
Это нравится:0Да/0Нет
03.07.2007 00:10:46
Цитата
neuro пишет:
у вирусников и троянщиков очень популярен пакер FSG
Преимущественнно для прог, написанных на асме. Ибо из всех хорошоизвестных пакеров FSG лучше всего сжимает именно проги, написанные на асме (максимум степени сжатия).

ak_,
Самое простое, что приходит в голову - попробуй тупо по F3 файл посмотреть. Есть вероятность наткнуться на название самого упаковщика. Например, UPX всегда оставляет комментарии о себе. А вот FSG, вроде, не оставляет...
Хотя, это не лучший выход: есть программы, которые позволяют подменять информацию о упаковщике... Но ИМХО: с такого дедовского способа стоило бы начать.

И ещё: попробуй тупо воспользоваться разными анпакерами (типа, того же UnUPX). Быть может, фортуна подвернётся. По крайней мере, если они не распакуют - будет высокая вероятность того, что либо упаковщик не соотвествует тому, что поддерживается анпакером, либо файл дополнительно чем-то обработан...
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#8
Это нравится:0Да/0Нет
03.07.2007 07:48:59
:sensored:
Изменено: qwe113 - 06.12.2011 08:44:45
 
 
 
Страницы: 1
Читают тему