Interesting :)

Отслеживать
по стилю кода похож на zeroaccess, вернее даже не похож а имеет часть его кода, мб какой то новый дропер или один из плагинов или лоадер или еще что то ...

можешь подробнее рассказать про этот семпл, где взял его, есть ли криптованый дропер ? что бы самому сдемпить.

я так понял ты переставил точку входа с sub_4016B5 на start_sub_00401E30, потому как в дропере часть кода не задействована, тот же инжект или стук на сервер.

вообще зероаццес конечно очень интересный, код полностью нативный, есть на что посмотреть, например тут юзается прикольная фишка, в массив складывается сразу все хеши и адреса функций из нтдлл, что бы потом не совершать работу по их поиску а сразу брать из массива, к тому же что бы ускорить это дело, как я понял массив сортируется по хеши, дабы за меньшее колво обращений найти нужную функцию ...

так же не понятно на чем написан, вроде как асм, но код кривоват для него, к тому же имеются что то типа классов ( например работа с сетью походу написана в виде класса ), казалось бы это си собранное в гцц или борладне, но опять же в длл встречается seh_prolog из msvc
 
по стилю кода похож на zeroaccess, вернее даже не похож а имеет часть его кода, мб какой то новый дропер или один из плагинов или лоадер или еще что то ...
Судя по коду из нескольких просмотренных мною статеек на тему zeroaccess, это он, но модифицированный.

можешь подробнее рассказать про этот семпл, где взял его, есть ли криптованый дропер ? что бы самому сдемпить.
Честно сказать, не помню... на трекере такое не поймаешь - кажется с какой-то связки.

я так понял ты переставил точку входа с sub_4016B5 на start_sub_00401E30, потому как в дропере часть кода не задействована, тот же инжект или стук на сервер.
В оригинальном дроппере сверху навешан криптор, причём он обфусцирован просто жутчайше.
После распака собственно говоря получилось то, что мы лицезреем в Dumped_.ex.
Там юзается старый трюк с ZwQueueApcThread при инжекте в процесс, я просто сменил точку входа.

вообще зероаццес конечно очень интересный, код полностью нативный, есть на что посмотреть, например тут юзается прикольная фишка, в массив складывается сразу все хеши и адреса функций из нтдлл, что бы потом не совершать работу по их поиску а сразу брать из массива, к тому же что бы ускорить это дело, как я понял массив сортируется по хеши, дабы за меньшее колво обращений найти нужную функцию ...

так же не понятно на чем написан, вроде как асм, но код кривоват для него, к тому же имеются что то типа классов ( например работа с сетью походу написана в виде класса ), казалось бы это си собранное в гцц или борладне, но опять же в длл встречается seh_prolog из msvc
C++ с асм вставками, мэйби ?

В dll`ке оффсет Main() -> ****160Ch
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх