Исследование файла.

[hedgehog]

В общем в руки попал интересный ехе-файл. Антивирями не палится вообще. Но есть почти 100% уверенность, что "это ж-ж-ж неспроста".

Теперь нужно его исследовать. Навыками дизассемблирования не владею.
Нужно точно знать что делает этот файл в системе (реестр, системные файлы и т.п.), куда ломится в сети и т.п.. Пока вооружился утилитами от Sysinternals.

Будет ли этого достаточно? Может есть еще утилиты, которые будут удобней, мощней, полезней в моем "исследовании"?

 

[FlatL1ne]

Навыками дизассемблирования не владею.

Без этого скорее всего ни как. А так ставь на виртуалку Olly Dbg и вперед. Впринципе не сложно. Также используй RegMon и FileMon. Да и IDA Pro 5.2 тебе многое бы рассказал. Также пакетный снифер используй для того чтобы посмотреть куда он может ломиться.


З.Ы. Выложи его сюда.

 

[karabas-barabas]

попробуй хекс редактором какимто глянуть (поиск строк) вдруг они чота не зашифровали типа url или еще чо-нить , тут лучше не дизассм а пошаговая отладка например в olly и частенько поглядуй в стек - правый нижний угол...
используй лучше procmon (это filemon + regmon ), apilogger есть прога такая.
Или на края установи kis2009 на виртуалке - он покажет все подозрительные действия проги и url куда ломится зверек

p.s. если чо - кидай в личку, я его исследую

 

[hedgehog]

Виртуалку еще вчера поставил со всеми редакторами и олькой. Из ассемблера только курс универа в голове, да парочка сломанных крякмисов. Будем надеятся этого хватит.
karabas-barabas, спасибо за procmon. Утилиты от Sysinternals рулят.

А вот выложить файл не могу его, извините. Просто дело деликатное очень.

 

[Pernat1y]

лей сюда https://anubis.iseclab.org/?action=advanced_form
хотя не факт, что прога там запуститься

 

[demien]

для начала файл не плохо бы распаковать... (в 99% случаев если файл не палится вообще он либо хорошо закриптован либо упакова это факт!)
ставь WMварю, софт от Sysinternals должен показать практически все действия в системе... только не забудьте настроить фильтр)

да даже в блокнот забросьте ехе файл и поищите строки с API вызовами... (если они не вызываются динамически и не зашифрованны) то Вы без проблем увидете все присутствующие api вызовы....