eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› Исследуем malware самостоятельно
Посл.ответ Сообщение

Ранг: 46.8 (посетитель)
Статус: Участник

Создано: 5 апреля 2013 16:46 New!
Цитата · Личное сообщение · #1

С анализом файлов все просто.

http://fumalwareanalysis.blogspot.ru/p/malware-analysis-tutorials-reverse.html by "Dr. Xiang Fu"

Code:
  1. Malware Analysis Tutorial 1- A Reverse Engineering Approach (Lesson 1: VM Based Analysis Platform) 
  2. Malware Analysis Tutorial 2- Introduction to Ring3 Debugging  
  3. Malware Analysis Tutorial 3- Int 2D Anti-Debugging .
  4. Malware Analysis Tutorial 4- Int 2D Anti-Debugging (Part II)  
  5. Malware Analysis Tutorial 5- Int 2D in Max++ (Part III) .
  6. Malware Analysis Tutorial 6- Self-Decoding and Self-Extracting Code Segment .
  7. Malware Analysis Tutorial 7: Exploring Kernel Data Structure .
  8. Malware Analysis Tutorial 8: PE Header and Export Table .
  9. Malware Analysis Tutorial 9: Encoded Export Table .  
  10. Malware Analysis Tutorial 10: Tricks for Confusing Static Analysis Tools .
  11. Malware Analysis Tutorial 11: Starling Technique and Hijacking Kernel System Calls using Hardware Breakpoints .
  12. Malware Analysis Tutorial 12: Debug the Debugger - Fix Module Information and UDD File .
  13. Malware Analysis Tutorial 13: Tracing DLL Entry Point .
  14. Malware Analysis Tutorial 14: Retrieve Self-Decoding Key .
  15. Malware Analysis Tutorial 15: Injecting Thread into a Running Process .
  16. Malware Analysis Tutorial 16: Return Oriented Programming (Return to LIBC) Attack .
  17. Malware Analysis Tutorial 17: Infection of System Modules (Part I: Randomly Pick a Driver).
  18. Malware Analysis Tutorial 18: Infecting Driver Files (Part II: Simple Infection) .  
  19. Malware Analysis Tutorial 19: Anatomy of Infected Driver 
  20. Malware Analysis Tutorial 20: Kernel Debugging - Intercepting Driver Loading .
  21. Malware Analysis Tutorial 21: Hijacking Disk Driver 
  22. Malware Analysis Tutorial 22: IRP Handler and Infected Disk Driver
  23. Malware Tutorial Analysis 23: Tracing Kernel Data Using Data Breakpoints 
  24. Malware Analysis Tutorial 24: Tracing Malicious TDI Network Behaviors of Max++  
  25. Malware Analysis Tutorial 25: Deferred Procedure Call (DPC) and TCP Connection 
  26. Malware Analysis Tutorial 26: Rootkit Configuration 
  27. Malware Analysis Tutorial 27: Stealthy Loading of Malicious Driver  
  28. Malware Analysis Tutorial 28: Break Max++ Rootkit Hidden Drive Protection
  29.  Malware Analysis Tutorial 29: Stealthy Library Loading II (Using Self-Modifying APC) 
  30. Malware Analysis Tutorial 30: Self-Overwriting COM Loading for Remote Loading DLL
  31.  Malware Analysis Tutorial 31: Exposing Hidden Control Flow 
  32.  Malware Analysis Tutorial 32: Exploration of Botnet Client 
  33. Malware Analysis Tutorial 33: Evaluation of Automated Malware Analysis System I (Anubis)  
  34. Malware Analysis Tutorial 34: Evaluation of Automated Malware Analysis Tools CWSandBox, PeID, and Other Unpacking Tools


Делаем все по шагам, и malware у нас в кармане.

Используйте Virustotal только как дополнение, а не как основу. Там палятся только школьники.

http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/SIA302 - Malware Hunting with the Sysinternals Tools

А этот видео урок надо знать наизусть, от этого анализа спрятаться очень сложно, следовательно это ваше основное оружие. (К руткитам не относится).

| Сообщение посчитали полезным: neox0r


Ранг: 377.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 5 апреля 2013 17:18 New!
Цитата · Личное сообщение · #2

Alinator3500
Вот если бы Вы сами взяли перевели на великий и могучий сей туториал и дали ссылку, вопросов бы не возникло! А так, половина аудитории будет сидеть со словарем и втыкать, что там пишет доктор Dr. Xiang Fu явно китайского(японского, корейского-нужное подчеркнуть) происхождения.


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 5 апреля 2013 17:28 New!
Цитата · Личное сообщение · #3

ELF_7719116 пишет:
Dr. Xiang Fu явно китайского(японского, корейского-нужное подчеркнуть) происхождения.


Он профессор американского уневерситета. А следовательно английский знает хорошо.

| Сообщение посчитали полезным: ajax


Ранг: 1.8 (гость)
Статус: Участник

Создано: 5 апреля 2013 17:38 New!
Цитата · Личное сообщение · #4

Спасибо, достаточно интерестно будет почитать, даже на инглише

Ранг: 377.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 5 апреля 2013 17:40 · Поправил: ELF_7719116 New!
Цитата · Личное сообщение · #5

hors пишет:
А следовательно английский знает хорошо.

Да я как-то не сомневаюсь, что Dr. Xiang Fu хорошо знает английский(т.к. статья на нем написана). Просто новичкам, гораздо удобней будет, чтоб выглядело так:
Code:
  1.     1      xor eax, eax           # EAX = 0        
  2.       2      push offset l1         # запихиваем адрес обработчика
  3.       3      push d fs:[eax]        # 
  4.       4      mov fs:[eax], esp      # добавляем новое исключение
  5.       5      int 2dh                # прерывание (надо жать shift+f9)
  6.       6      inc eax                # EAX = 1, т.к. взломщик был пьяный и нажал F7(F8)
  7.       7      je being_debugged      # К.О. сообщает, что щас будет MessageBox(дебаггер ис детектед)
  8.       8          ...
  9.       9  l1: xor al, al            # и все таки я  занопил ко всем чертям проверку
  10.       10     ret 

Ничего против не имею. Нормальный туториал - сам читаю.

| Сообщение посчитали полезным: Abraham


Ранг: 617.3 (!)
Статус: Участник

Создано: 5 апреля 2013 17:40 New!
Цитата · Личное сообщение · #6

ELF_7719116

Половина отечественной аудитории до сих пор в ступоре от русскоязычных туторов Внекрылова.
Если переводить, то нужно профессионально, с повтором действий, и желательно с видео, а то что переведут "дословно" оттуда, ни кто не поймет, т.к. там и английский вроде не ахти.

| Сообщение посчитали полезным: DimitarSerg



Ранг: 331.3 (мудрец)
Статус: Участник
born to be evil

Создано: 5 апреля 2013 17:57 New!
Цитата · Личное сообщение · #7

Vovan666
ес-но. если переводить. но, кто исследует малварь, с ангельским дружат наверняка

Ранг: 377.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 5 апреля 2013 18:15 New!
Цитата · Личное сообщение · #8

Из тутора:
Challenge of the day:
Run the Max++ malware, can you describe its network activities?

Представляю если кто-то просто скачал архив, распаковал, переименовал файл в .exe и запустил с правами админа...


Ранг: 331.3 (мудрец)
Статус: Участник
born to be evil

Создано: 5 апреля 2013 18:42 · Поправил: ajax New!
Цитата · Личное сообщение · #9

ELF_7719116
"сдуру ума можно и х... сломать"


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 апреля 2013 19:46 · Поправил: Dr0p New!
Цитата · Личное сообщение · #10

Ну и какого года сия дока, судя по оглавленью дето ~2005

Главное что писан сей баян Dr. блабла. Типо это придаёт элитный вид пустым баянам.

Ранг: 46.8 (посетитель)
Статус: Участник

Создано: 5 апреля 2013 19:52 New!
Цитата · Личное сообщение · #11

Спасибо за хороший прием поста.
Я не эксперт в Английском, и тем более в Испанском. Но я учусь, и пытаюсь читать оригинал.
Желание знать все (многое) и говорить только на Русском не осуществимо (в моем сознании).
Уделите 1 час в день на изучение Английского/Испанского в день, и перед вами откроются
многие секреты интернета.

Ранг: 126.1 (ветеран)
Статус: Участник

Создано: 5 апреля 2013 20:00 New!
Цитата · Личное сообщение · #12

Dr0p

Абы что ляпнуть. Че не сидится на аверлабе?
Дока 2012 года, малвар староват, но для новичков пойдет.

| Сообщение посчитали полезным: Dr0p



Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 апреля 2013 20:01 New!
Цитата · Личное сообщение · #13

Alinator3500
Учите доки по архитектуре, софтверной и железячной, а не всякую хуиту!)


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 апреля 2013 20:02 New!
Цитата · Личное сообщение · #14

Alchemistry
Мониторим клаб в поисках годностей

Ранг: 126.1 (ветеран)
Статус: Участник

Создано: 5 апреля 2013 20:18 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #15

Инде, заведи себе бложек - РПЦ.blogspot.ru. Или твитер - @Malfoy. Я тебя даже зафоловю. В цикле понятно и для студентов разжевана матчасть которая как раз по теме, читай уж сначала прежде чем критиковать.

We assume that you have some basic understanding of X86 assembly, debugging, operating systems, and programming language principles. Instructors are welcome to use this tutorial and integrate it in computer science courses such as computer architecture and operating systems.

ZeroAccess там правда 2010 года и с тех пор изменился целиком, но для начинающих это очень хороший экскурс.


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 апреля 2013 20:23 New!
Цитата · Личное сообщение · #16

Alchemistry
> читай уж сначала прежде чем критиковать.

Что читать, про отладочный шлюз(0x2D) , или быть может про какие то трейсы.. мну открыл "Exposing Hidden Control Flow" и сделал вывод что это всё г0вно. А нубью не следует в сие лазать, учите азы(тебя это тоже, друг мой касается).

Ранг: 377.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 5 апреля 2013 20:37 New!
Цитата · Личное сообщение · #17

Dr0p пишет:
Что читать, про отладочный шлюз(0x2D) , или быть может про какие то трейсы

Очевидно это единственная информация из статьи, которую ты смог почерпнуть из моего поста выше. Учи английский! Персонально для тебя просил перевести (как знал!)

Ранг: 126.1 (ветеран)
Статус: Участник

Создано: 5 апреля 2013 20:39 New!
Цитата · Личное сообщение · #18

Dr0p пишет:
мну открыл "Exposing Hidden Control Flow" и сделал вывод что это всё г0вно

И что же там не так?

Ожидал там увидеть свою маршрутизацию с сепшенами и микодом? В софте нужен код который работает, а не который создается для понтов на никому не нужном васме.

Ядро то подучил, дружище, или все также нубишь?


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 апреля 2013 20:41 New!
Цитата · Личное сообщение · #19

ELF_7719116
Мну тебя впервые видит. И посты я читаю только знакомых людей, за иключеньем первого. Ибо такого спама тонны, на всё времени не хватит.


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 апреля 2013 20:43 New!
Цитата · Личное сообщение · #20

Alchemistry
> Ядро то подучил, дружище, или все также нубишь?

Есно, ёба.


Ранг: 331.3 (мудрец)
Статус: Участник
born to be evil

Создано: 5 апреля 2013 20:47 · Поправил: ajax New!
Цитата · Личное сообщение · #21

эх, clerk'a уже нет c его злостным асмокодом
btw, некогда было интересно вкурить в apc и тп. жаль, не пригодится, в моем обычном прикладном

Ранг: 126.1 (ветеран)
Статус: Участник

Создано: 5 апреля 2013 20:52 New!
Цитата · Личное сообщение · #22

Dr0p
Да че то не похоже, как нес херню так и несешь. Вот например знатный бред вещал давеча http://wasm.ru/forum/viewtopic.php?id=47510&p=1

РПЦ, ДХМ, есчо сочетания на несколько букв - вот это вся твоя нынешняя матчасть.
В курсе, который ты обосрал, рассмотрен ZA, про который ты ничего внятного сказать не можешь. Иди уже, компилируй нубье на васме - там как раз супер темы для тебя "Чувство одиночества - болезнь мозга ?" и "Зажигалка".


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 5 апреля 2013 21:22 · Поправил: Dr0p New!
Цитата · Личное сообщение · #23

Alchemistry
Мне они интересны, а не ваш детский сад. Мне всё тут ваше давно уже не интересно. И тут мну отписал своё мненье по сабжу, так как он малварный типа. Играйте дальше в своей песочнице :D)))

Ранг: 126.1 (ветеран)
Статус: Участник

Создано: 5 апреля 2013 21:32 New!
Цитата · Личное сообщение · #24

Dr0p
Ок, так и запишем - очередной слив Инде. Ты главное там не сторчись совсем. Такой генератор лулзов и движухи будет жалко потерять.

Ранг: 46.8 (посетитель)
Статус: Участник

Создано: 5 апреля 2013 23:23 New!
Цитата · Личное сообщение · #25

Dr0p
Залей мне пару своих наработок (malware) в личку, может ты реально настолько крут что мне стоило бы обращаться на Вы.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 24 апреля 2013 04:09 · Поправил: Prosper-H New!
Цитата · Личное сообщение · #26

Для тех кого интересует перевод: http://forum.reverse4you.org/showthread.php?t=1327

| Сообщение посчитали полезным: Dart Sergius, BAHEK, SReg



Ранг: 105.6 (ветеран)
Статус: Участник

Создано: 24 апреля 2013 05:12 New!
Цитата · Личное сообщение · #27

Prosper-H вы спаситель крабов

ps надо английский подучить все таки...

Ранг: 13.0 (новичок)
Статус: Участник

Создано: 24 апреля 2013 05:46 New!
Цитата · Личное сообщение · #28

Сделайте перевод одним архивом и ссылку сюда

Ранг: 377.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 24 апреля 2013 07:40 · Поправил: ELF_7719116 New!
Цитата · Личное сообщение · #29

Я пассвордом разжился на архив с Max++ (http://www.mediafire.com/?epws9on5k104npi). Кому надо - скину в личку. Если надо всем - внизу прикреплю.
NikolayD пишет:
там комментарии есть )))

Для тех, кто не увидел в комментариях infected666f

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 24 апреля 2013 08:21 New!
Цитата · Личное сообщение · #30

ELF_7719116, там комментарии есть )))
 eXeL@B —› Крэки, обсуждения —› Исследуем malware самостоятельно

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS