Malware obfuscator

parisk

Active Member
29/03/2018
2
36 bài viết
Malware obfuscator
mn cho e hỏi làm sao để dịch ngược được con virus này với ạ .
- e đã thử exeinfope, peid thì kết quả là không packed, nhưng khi lên virustotal.com thì lại có packer: UPolyX v0.5. không biết là nó có bị packed hay không?
- virus này e load vào IDA thì nó có rất nhiều hàm, không có graph-mode, không F5 được (chỉ có 1 hàm start là F5 được), nên gần như là e không có hướng nào để làm cả. Mong mọi người có ý tưởng nào giúp đỡ với ạ. e cảm ơn nhiều
Pass giải nén: infected
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: du0n9
View memory vùng 41f000h.
Đặt breakpoint ở địa chỉ 4018AAh, jump đến đó thì vùng 41f000 bị ghi đè code mới. jump đến 41fbee rồi dump ra thì đây là code gốc. Đoán thế.
Dump ra kéo vào ida cũng đẹp phết.
upload_2019-4-17_19-55-47.png

Mở CFF xem info file dump nó ra thế này:
upload_2019-4-17_19-56-28.png

Muốn unpack thì bạn phải tự debug tiếp, còn tìm tool unpack tự động thì mình chịu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Comment
mình cảm ơn bạn nhiều lắm.trước mình không có một ý tưởng gì để làm luôn á. Cảm ơn bạn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
cho mình hỏi thêm là làm sao để bạn biết được là địa chỉ 4018AAh để đặt breakpoint vậy. Mình cảm ơn nhiều
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chuyên gia phân tích bách khoa @hainhc
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên