eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› API "AllocateUserPhysicalPages", Ollydbg
Посл.ответ Сообщение

Ранг: 0.4 (гость)
Статус: Участник

Создано: 16 мая 2019 13:38 New!
Цитата · Личное сообщение · #1

Доброе время суток, разбирал "троян" (как говорит virustotal), он использует кучу различных API типа FLS, Encode/Decode и т.д. Почти в самом конце вызывает цикл, и AllocateUserPhysicalPages, после которое Ollydbg, завершает отладку. Кто подскажет с чем это связано?


{ Атач доступен только для участников форума } - Снимок7.PNG

Ранг: 126.3 (ветеран)
Статус: Участник

Создано: 16 мая 2019 14:00 New!
Цитата · Личное сообщение · #2

параметры вызова этой функции мусор, давай файл или будем изучать криптор или что там на нем по картинкам?

Ранг: 0.4 (гость)
Статус: Участник

Создано: 16 мая 2019 14:58 New!
Цитата · Личное сообщение · #3

{ Атач доступен только для участников форума } - 1d4f096a2f7f6e0c80980935d8b7a1fd73ba2841f2ddfc44572a37e921ee541f

Ранг: 126.3 (ветеран)
Статус: Участник

Создано: 16 мая 2019 15:22 New!
Цитата · Личное сообщение · #4

Это кусок адвары с прокси трояном на борту с цифровой подписью комода. Пропусти в отладчике цикл с вызовом этой апи. Когда будешь копать актуальную часть там есть функция резольва поинтеров функций с расшифровкой имен. Дальше не смотрел ибо не зачем.

| Сообщение посчитали полезным: ybxtuj



Ранг: 303.6 (мудрец)
Статус: Участник

Создано: 16 мая 2019 18:36 · Поправил: difexacaw New!
Цитата · Личное сообщение · #5

ybxtuj

> после которое Ollydbg, завершает отладку.

Невозможно. Что бы убедиться я посмотрел NtAllocateUserPhys в wrk(XP) и w10.x64. Процесс не завершается ни при каких условиях, из сервиса возврат при любых параметрах.

Добавлено спустя 5 минут
Есть лишь один механизм, через который может быть брошено ядром исключение - трассировка описателей. Не исключено что это и используется: ProcessHandle: CONST 0x2D + debugport.

Ранг: 0.4 (гость)
Статус: Участник

Создано: 16 мая 2019 21:09 New!
Цитата · Личное сообщение · #6

difexacaw К сожалению, мой малый опыт говорит о том, что после запроса в AllocateUserPhysicalPages процесс завершается.

{ Атач доступен только для участников форума } - 401D5F.png

Ранг: 126.3 (ветеран)
Статус: Участник

Создано: 16 мая 2019 21:19 New!
Цитата · Личное сообщение · #7

Господин клекр витиевато тебе намекает что это происходит под отладчиком. Если ты глянешь сколько циклов наматывается этот бессмысленный вызов с трешем вместо параметров то это должно навести тебя на мысль что это туда вставлено неспроста бгг. В любом случае скипай это и будет тебе щастье.


Ранг: 303.6 (мудрец)
Статус: Участник

Создано: 17 мая 2019 01:45 New!
Цитата · Личное сообщение · #8

ybxtuj

Эта картинка ниочём мне не говорит. Вначале тыкни F2 на KiRaiseUserException(). Если останов не произойдёт тогда выкинь этот отладчик.

Добавлено спустя 9 часов 43 минуты
Посмотрел этот семпл. Штатно сервис возвращает управление и STATUS_ACCESS_VIOLATION. Никаких исключений нет и быть не может(тк вначале проверки аргументов, а они невалид). Взял плагин scylla, с ним тоже работает как и должно.
 eXeL@B —› Вопросы новичков —› API "AllocateUserPhysicalPages", Ollydbg

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS