как распознать "склейку"?

[TRUmP]

кто подскажет сниферы, проги, и методы распознования "склейки"
программ ? подробно и ясно. ооочень буду благодарен.
-------------------------------------------------------
заепали вирусы пропихивать.
узнавать об этом "после" не хочеться .
варианты?
--------------------------------
антивирь кричит - не вариант )))

 

[G100M]

начни с анубиса, потом вычисли упковщик - если ручной, то соответсвенно ручками распаковывай, если есть автомат то автоматом.
далее есть утилиты для мониторинга реестра, жд и памяти.

 

[Империал]

Запускай подозрительные файлы на виртуальной машине или на дедиках.
Если шаришь в кодинге - расковыряй в отладчике.
Да и почему антивирь не вариант? Ну допустим ты скачал, прогу, которая палится антивирусом, например сплоит, ну так ты обрати внимания на то, ЧТО тебе скажет антивирус. Например если сплоит он определяет как зевс то здесь все понятно

 

[karabas-barabas]

вообще можно запрятать так, что на глаз и не скажешь например в дата секцию запихнуть... вообще чаще всего ложат в ресурсы - возьми открой прогу в ResHacker и посмтри папку RCDATA если там есть что-то подозрительное - большого размера или оно начинается с MZ то просто удали из ресурсов...ну или на виртуалке открываешь в OllyDbg и ставишь бряк на CreateFileW (bp CreateFileW) (ну или conditional breakpoint на CreateFileW чтоб 5-й кажись параметр был на CREATE_NEW или CREATE_ALWAYS ) и запускаешь (F9) и на остановах смотришь квадрат stack значение esp+4

 

[6@ckd00r]

вот хороший сервер для проверки софта без загруки на комп http://vms.drweb.com/online/?lng=ru :excl: ну и делай скрины реестра и процессов,а потом сверяй

 

[Rassh]

Самого недавно интересовал такой вопрос.в итоге на наличие склейки одного файлика с трояном использовал vmware + wireshark. запускаешь интересующий тебя файл на виртуалке и через сниффер смотришь что и куда он начинает отправлять.

 

[Ar3s]

Ну а procmon чего забыли? Запускаешь монитор, ставишь филтр на файл и смотришь что делает и куда распаковывается.

 

[TRUmP]

на одном из форумов. (спасибо откликнувшимуся. жаль не помню имени..) мне написали вот этот список:

По умолчанию Своя антивирусная лаборатория

Пак программ для мини антивирусной лаборатории
API Monitor
HijackThis 2.0.3 (Beta)
MandiantRedCurtain 1.01
OSAM Autorun Manager 5.0
PDF tools
pefile
PEiD
Sandboxie
SysAnalyzer

далее я его дополнил:
Служебными программами от компании Sysinternals:
перечислять их не буду... их можно найти на ***/technet.microsoft.com/ru-ru/sysinternals/bb795533.aspx
которые кстати не юзал ..что конечно же надо было сделать, ибо весь ответ мог быть именно там...

дак вот.... перекачав и перерыв кучу ссылок и сборок с первого списка. я честно ни*уя там ничего не понял за исключением пары программ, по которым кстати мне удалось выявить некоторую активность подопытного трояна. какие ключи в реестре были созданы, какие файлы в папке Windows либо где то еще - появились- и еще там некоторые моменты... но половина програм нивкакую не поддавалсь на поиск в Google - тобишь - русский интерфейс и portable запуск. (что конечно можно было все таки найти, если бы не лопнуло терпение) пришлось юзать на интуицию с английскми интерфесом. еще некоторые на VMware совсем не запустились и в итоге получилось не очень удовлетворительная лаборатория ( что конечно можно было исправить при должных знаниях - но откуда они? как раз их бы найти надо на таких опытах )

дак вот .. может быть.. кто нибудь.. расскажет , если есть время, более подробное юзание прог. даст ссылки с русским интерфейсом, portable.(что немаловажно) чтобы наконец злорадные кидалы которые подсовывают трояны лишились своих админок.

как выявить записанные в (криптованном) ехе, ссылки на домены -
не имея подключения к интернету тоже бы очень хотелось узнать. потому что кажеться что очень умные трояны могут и не долбиться по сетевым адресам палясь через оутпосты и файрволы - если нет
подключения к интернету. а могут и долбиться - только быть свеже написанными и вследствии посылать на*уй все брандмауэры и прочие шведские стенки

можно конечно смотреть там перхваты функций API, выявлять где там место в котором происходит обман файрвола - но слова словами - а на деле ниче не получаеться. задайтесь вопросом... какие шаги надо выполнять , в подробностях и нюансах, чтоб адрес отстука узнать и список соданных ключей реестра и выставленные хуки, процесс в который трой внедрился. и там все прочее... иначе заражают и заражают.. даже уличить не получаеться. все просовывают и просовывают под разными предлогами своих зверей, вместо обещанного рабочего трояна .. мол для опыта.. паблик.... но рабочий...


спасибо

 

[accelerator]

на vmware запусти, а на хост-ПК открой снифер и смотри куда долбится софт.

 

[TrueUser]

В данной ситуации необходимо сделать так:
1. Поставить на тачилу WMVare.
2. Поставить на варю голую винду безо всякого этого говна.
3. Поставить на варю WireShark.
4. Поставить Process Monitor.
5. Сохранить текущее состояние тачки.
6. Запустить варешарк и монитор (который фильтрует лог по имени процесса зверя)
7. Из под админа (а вдруг у вас не так!) запустить зверюгу.
8. Сидим смотрим что происходит процесс мониторе. Куда происходит копирование, что прописывается в реестре.
9. Если движуха подозрительна, идет распаковка дополнительных экзешников например в system32 значить залезаем в фильтр и вбиваем его имя в процессы, и смотрим что же сделал на компе распакованный засранчик.
10. Если софт бестолковый (а он обычно такой и есть) то он сразу ломится в сеть. Это отлично видно по варешарку (домен и прочую херню) да так что можно определить что именно за софт на какую админку стучит, при наличии некоторого опыта.

Если надо тестить другой файл - откатывай варю и повторяй с шага №6.

ЗЫ.
Если нет сети, то чисто гипотетически можно поставить свой собственный днс, который бы отдавал свой собственный IP для всех доменов. Ну это типа интернет есть, но не работает по крайней мере можно попалить сетевую активность.

ЗЫЗЫ.
Вчистую портабле решений нет ИМХО.

 

[vvs777]

че вы паритесь?
берете смотрите что лежит в EOF'е exeшника. Если что-то лежит - 100% склейка или реал инсталлятор или sfx архив.

таким образом можно распознать 95% биндеров

 

[TwikZ]

В данной ситуации необходимо сделать так:
1. Поставить на тачилу WMVare.
2. Поставить на варю голую винду безо всякого этого говна.
3. Поставить на варю WireShark.
4. Поставить Process Monitor.
5. Сохранить текущее состояние тачки.
6. Запустить варешарк и монитор (который фильтрует лог по имени процесса зверя)
7. Из под админа (а вдруг у вас не так!) запустить зверюгу.
8. Сидим смотрим что происходит процесс мониторе. Куда происходит копирование, что прописывается в реестре.
9. Если движуха подозрительна, идет распаковка дополнительных экзешников например в system32 значить залезаем в фильтр и вбиваем его имя в процессы, и смотрим что же сделал на компе распакованный засранчик.
10. Если софт бестолковый (а он обычно такой и есть) то он сразу ломится в сеть. Это отлично видно по варешарку (домен и прочую херню) да так что можно определить что именно за софт на какую админку стучит, при наличии некоторого опыта.

Если надо тестить другой файл - откатывай варю и повторяй с шага №6.

ЗЫ.
Если нет сети, то чисто гипотетически можно поставить свой собственный днс, который бы отдавал свой собственный IP для всех доменов. Ну это типа интернет есть, но не работает smile.gif по крайней мере можно попалить сетевую активность.

ЗЫЗЫ.
Вчистую портабле решений нет ИМХО.

блин спасибо что написал мне это очень помогло спс