eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rthax (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Найти скрытую процедуру
Посл.ответ Сообщение

Ранг: 26.1 (посетитель)
Статус: Участник

Создано: 27 ноября 2018 19:31 New!
Цитата · Личное сообщение · #1

Изучение последней версии target вроде как указывает на неожиданное и необычное (в моём скромном опыте) решение разрабов: скрыть процедуру, в которой находятся вожделенные байтики. Процедура не видна в отладчиках (Olly и x64dbg), не ищется ни по сигнатуре, ни по поиску ссылки на строку. Вот таким образом разрабы законопатили дыру, засвеченную на весь белый свет.
В предыдущей версии поиск ссылки на строку "00000-" давал два адреса, по второму из которых можно было прямо попасть в нужную процедуру (дальше - дело техники - элементарно вычислялись нужные байты). Также в первой ссылке содержится сигнатура, по которой тоже можно попасть в эту процедуру.
В последней версии отображается только один (первый) адрес. Имеющаяся там сигнатура, однако, в отличие от предыдущей версии никуда не ведёт. Найти же процедуру в последней версии по различным кускам сигнатур из процедуры предыдущей результат не дал.

Правильный ли мой вывод о сокрытии?
Если да, то как найти и увидеть в отладчике эту процедуру?

В архиве два варианта исполняемого файла: последний и предыдущий.
--> Target <--

---------------------------------------------------------------------------------------------------

"— Видишь суслика?
— Нет.
— И я не вижу. А он есть!" © ДМБ


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 27 ноября 2018 19:49 New!
Цитата · Личное сообщение · #2

Поскольку твой способ обнаружения основан на заведомо известных сигнатурах, то вывод простой:
Исследовать файл в дизассемблере и отладчике, не полагаясь на сигнатуры, а анализируя логику работы программы.


Ранг: 264.9 (наставник)
Статус: Участник

Создано: 27 ноября 2018 19:54 New!
Цитата · Личное сообщение · #3

Chris

Вы путаете понятия. Если код в памяти присутствует и есть некоторый механизм его сокрытия. Это довольно сложная задача для новичка.
Но если вы искали код на основе сигнатуры и вендор пересобрал апп, что сигнатуры больше нет - это совсем другое дело. Наверно как и всегда не следует опираться на сигнатуры, по этой причине они и не используются. Не берите пример с аверов, у них там это всё формируется в историю, сигнатуры накапливаются в базах данных.

> Процедура не видна в отладчиках

А как вы планировали её увидеть, если опираетесь на сигнатурный поиск ?
Да любая нормальная малварь морфит код. В общем нужен указатель на целевой код, а дальше обработает конструктор, а на выхлопе будет морф/виртуализация. Конечно там вы свою сигнатуру не найдёте.

> как найти и увидеть в отладчике эту процедуру?

Сопоставить активность в динамике, единственный вариант. Это например обращение к определённым данным или прочая активность, у вас сигнатура статическая, это динамическая.


Ранг: 119.9 (ветеран)
Статус: Участник

Создано: 27 ноября 2018 20:06 · Поправил: f13nd New!
Цитата · Личное сообщение · #4

Либо немного переделали, либо это причуды компилятора. Если уж колхозить по аналогии, то есть прекрасные "push 208 / push209" чуть выше и "push 7AF / push 21D" ниже. Сама функция судя по всему метод объекта, так что еще лучше было бы отталкиваться от номера этого метода например.

Ранг: 47.2 (посетитель)
Статус: Участник

Создано: 28 ноября 2018 01:08 New!
Цитата · Личное сообщение · #5

13
https://i.imgur.com/gBnSPzP.png

14
https://i.imgur.com/hCalom4.png

похоже, но не знаю, оно аль не
по сигнатурам

Ранг: 26.1 (посетитель)
Статус: Участник

Создано: 28 ноября 2018 08:40 New!
Цитата · Личное сообщение · #6

hash87szf пишет:
оно аль

Спасибо.
Увы, не оно. Похожих достаточно много, но искомого места в них нет.

Ранг: 47.2 (посетитель)
Статус: Участник

Создано: 28 ноября 2018 18:36 New!
Цитата · Личное сообщение · #7

Думал Биндифф заюзать, так Ида часик только базы аналазила... А Биндифф потом падае на базах в 500мб.
Diaphora может справицца.
 eXeL@B —› Вопросы новичков —› Найти скрытую процедуру

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS