Malware obfuscator

Thảo luận trong 'Virus/Malware' bắt đầu bởi parisk, 17/04/19, 08:04 AM.

  1. parisk

    parisk Active Member

    Tham gia: 29/03/18, 02:03 PM
    Bài viết: 35
    Đã được thích: 2
    Điểm thành tích:
    8
    mn cho e hỏi làm sao để dịch ngược được con virus này với ạ .
    - e đã thử exeinfope, peid thì kết quả là không packed, nhưng khi lên virustotal.com thì lại có packer: UPolyX v0.5. không biết là nó có bị packed hay không?
    - virus này e load vào IDA thì nó có rất nhiều hàm, không có graph-mode, không F5 được (chỉ có 1 hàm start là F5 được), nên gần như là e không có hướng nào để làm cả. Mong mọi người có ý tưởng nào giúp đỡ với ạ. e cảm ơn nhiều
    Pass giải nén: infected
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    du0n9 thích bài này.
  2. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 23
    Đã được thích: 14
    Điểm thành tích:
    3
    View memory vùng 41f000h.
    Đặt breakpoint ở địa chỉ 4018AAh, jump đến đó thì vùng 41f000 bị ghi đè code mới. jump đến 41fbee rồi dump ra thì đây là code gốc. Đoán thế.
    Dump ra kéo vào ida cũng đẹp phết.
    upload_2019-4-17_19-55-47.png
    Mở CFF xem info file dump nó ra thế này:
    upload_2019-4-17_19-56-28.png
    Muốn unpack thì bạn phải tự debug tiếp, còn tìm tool unpack tự động thì mình chịu.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  3. parisk

    parisk Active Member

    Tham gia: 29/03/18, 02:03 PM
    Bài viết: 35
    Đã được thích: 2
    Điểm thành tích:
    8
    mình cảm ơn bạn nhiều lắm.trước mình không có một ý tưởng gì để làm luôn á. Cảm ơn bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. parisk

    parisk Active Member

    Tham gia: 29/03/18, 02:03 PM
    Bài viết: 35
    Đã được thích: 2
    Điểm thành tích:
    8
    cho mình hỏi thêm là làm sao để bạn biết được là địa chỉ 4018AAh để đặt breakpoint vậy. Mình cảm ơn nhiều
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 304
    Đã được thích: 148
    Điểm thành tích:
    43
    Chuyên gia phân tích bách khoa @hainhc
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,874
    Đã được thích: 852
    Điểm thành tích:
    113
    Xin Hải cái thẻ cào đi em.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan