RE FORUM

[REVERSE ENGINEERING] => General Discussion => Topic started by: STMR on March 26, 2010, 08:04:05 PM

Title: Analyza malware
Post by: STMR on March 26, 2010, 08:04:05 PM

Zdravim, neznate nekdo nejaky material pro zacatky s analyzou malware? Chytil jsem na flashku nejaky hnusny autorun a kdyz ho otevru v Ollym, tak mam plnou tabulku importu fci prevazne pro zpracovani obrazku, GUI, apod. Asi to je normalni ale nikdy jsem to nevidel. Diky

Title: Re: Analyza malware
Post by: pr0p4g4nd4 on March 27, 2010, 09:05:04 AM

Quote from: STMR on March 26, 2010, 08:04:05 PM

Zdravim, neznate nekdo nejaky material pro zacatky s analyzou malware? Chytil jsem na flashku nejaky hnusny autorun a kdyz ho otevru v Ollym, tak mam plnou tabulku importu fci prevazne pro zpracovani obrazku, GUI, apod. Asi to je normalni ale nikdy jsem to nevidel. Diky

na zaciatok toto - analyza malware je to iste ako analyza akehokolvek ineho executable file, cizee je to stale (viacmenej) furt to iste ako keby si analyzoval nejaky packer alebo cokolvek ine suvisiace s RE.

vies co, mozno by som ti poradil toto - nema to sice s analyzou kodu nic spolocne, ale aspom budes mat prehlad co to robi(mozno ;D). pouzi tento soft:

Code: [Select]

http://jacquelin.potier.free.fr/winapioverride32/
nastav si ho tak, aby sa attachoval na vsetky novovytvorene procesy. no a co sa tyka api kt mas monitorovat - tak skus tie zakladne ako: CreateFileA(resp CreateFileW), CreateRemoteThread, RegCreateKeyEx, RegCloseKey. Ak to je virus, tak by si tam mal asi mozno(alebo mozno ani nie :D) vidiet ako sa tvoj system infikoval - ale to asi len v tom pripade, ze este infikovany nie je, lebo ak je tak je mozne ze len virus skontroluje ci je system infikovany a infikacny kod uz nevykona.

skus kuk sem:

Code: [Select]

http://arteam.accessroot.com/arteam/site/download.php?view.313
http://arteam.accessroot.com/arteam/site/download.php?view.312
http://portal.b-at-s.info/download.php?view.454

Title: Re: Analyza malware
Post by: H4P0 on March 27, 2010, 09:11:38 AM

preposli ten malware

Title: Re: Analyza malware
Post by: Conflict on March 27, 2010, 12:59:38 PM

Nez budes neco takovyho analyzovat, tak stahni nakou virtualizacni masinku, nejlip se mi pracovalo s vmware. Pak zkoumej co chces. Samozrejme si udelej zalohu cistyho virtualniho hdd at nemusis instalovat znova.

Title: Re: Analyza malware
Post by: pr0p4g4nd4 on March 29, 2010, 08:21:20 AM

skus vmware - ten ja pouzivam - umoznuje si ukladat tzv snaphots, je to nieco ako ulozenie aktualneho stavu VM, a potom sa mozes vratit na stav akykolvek potrebujes

Title: Re: Analyza malware
Post by: HypnotiX on March 29, 2010, 10:26:08 AM

A pozor na detekci VM. Nektery malware kotroluje jestli nejede na VM (napr. http://www.codeproject.com/KB/system/VmDetect.aspx) apod.