Malware obfuscator

[parisk]

mn cho e hỏi làm sao để dịch ngược được con virus này với ạ .
- e đã thử exeinfope, peid thì kết quả là không packed, nhưng khi lên virustotal.com thì lại có packer: UPolyX v0.5. không biết là nó có bị packed hay không?
- virus này e load vào IDA thì nó có rất nhiều hàm, không có graph-mode, không F5 được (chỉ có 1 hàm start là F5 được), nên gần như là e không có hướng nào để làm cả. Mong mọi người có ý tưởng nào giúp đỡ với ạ. e cảm ơn nhiều
Pass giải nén: infected

 

View memory vùng 41f000h.
Đặt breakpoint ở địa chỉ 4018AAh, jump đến đó thì vùng 41f000 bị ghi đè code mới. jump đến 41fbee rồi dump ra thì đây là code gốc. Đoán thế.
Dump ra kéo vào ida cũng đẹp phết.

Mở CFF xem info file dump nó ra thế này:

Muốn unpack thì bạn phải tự debug tiếp, còn tìm tool unpack tự động thì mình chịu.

 

mình cảm ơn bạn nhiều lắm.trước mình không có một ý tưởng gì để làm luôn á. Cảm ơn bạn

 

cho mình hỏi thêm là làm sao để bạn biết được là địa chỉ 4018AAh để đặt breakpoint vậy. Mình cảm ơn nhiều

 

Chuyên gia phân tích bách khoa @hainhc

 

Chuyên gia phân tích bách khoa @hainhc

Xin Hải cái thẻ cào đi em.