До полноценной статьи не дотянуло из-за нехватки времени. Публикую черновик. Буду дополнять.
Как я не старался дроппер толком не работал. Падал с ошибкой в инжекте. Дальше о объясню почему он не работает
Запакованный дроппер имеет размер 234 кб. Сэмпл был взят из kernelmode.info.
Привычным движением руки грузим файл в отладчик. Кстати, я перешел на новую верйкпойнсию OllyDbg 2.01
(хотя она уже сколько лет существует, до меня прогресс доходит медленно, зацените крутую схему подсветки).
Распаковка.
Признаюсь распаковка этого криптора была не столько сложной, сколько утомительной. Алгоритм касательно всех
крипторов заявленных на рынке:
брейкпойнт на VirtualAlloc и дальнейшая трассировка. Авторы крипторов кажется не считают проверку установки
брейкпойнтов на критические функции хорошим тоном. Такая же ситуация и здесь:
Как быстро дойти до цикла декрипта: ставьте брейкпойнт на близлежащюю команду после джамп после текущего значения eip.
Сказано смутно, на рисунке думаю лучше объяснено:
Брейкпойнт на 02AA1750 поможет в в нашем деле. Дальнейшая трассировка выведет на заветное обращение к регистру eax
Дампим, востанавливаем импорт.
Из интересного в файле:
Получение апи адресов:
Реализация видимо своя, имена апи зашифрованы и передаются массиовом. В аттаче прикреплен .idb ы файл иды,
можете загрузить и посмотреть. Я немного проанализировал функции.
Обращение к жесткому диску:
До сих пор нпонятно зачем почему бот обращается к жесткому диску через DeviceIo (\\.\PhysicalDrive0)
DeviceIoControl(hObject, 0x2D1400u, &Dst, 0xCu, v2, nOutBufferSize, &BytesReturned, 0).
Думал ставит буткит, но не выяснил до конца
64 to 32:
Эта техника хорошо описана в статье http://hex.pp.ua/heavens-gate.php
Именно и из за него происходит падение в инжекте. Не сохраняется адрес возврата. Зачем вообще этот код.
Инжект в процессы:
Стартует %SysWOW%/explorer.exe и с помощью ZwUnmapViewSection инжектит код.
+содержит внутри длл, которая занимается поиском функций хрома и перехватом их.
трой пока сырой, надеюсь автор исправит ошибки
+в аттаче распакованный билд и файлы иды. я проаналищировал некотрые функции
Как я не старался дроппер толком не работал. Падал с ошибкой в инжекте. Дальше о объясню почему он не работает
Запакованный дроппер имеет размер 234 кб. Сэмпл был взят из kernelmode.info.
Привычным движением руки грузим файл в отладчик. Кстати, я перешел на новую верйкпойнсию OllyDbg 2.01
(хотя она уже сколько лет существует, до меня прогресс доходит медленно, зацените крутую схему подсветки).
Распаковка.
Признаюсь распаковка этого криптора была не столько сложной, сколько утомительной. Алгоритм касательно всех
крипторов заявленных на рынке:
брейкпойнт на VirtualAlloc и дальнейшая трассировка. Авторы крипторов кажется не считают проверку установки
брейкпойнтов на критические функции хорошим тоном. Такая же ситуация и здесь:
Как быстро дойти до цикла декрипта: ставьте брейкпойнт на близлежащюю команду после джамп после текущего значения eip.
Сказано смутно, на рисунке думаю лучше объяснено:
Брейкпойнт на 02AA1750 поможет в в нашем деле. Дальнейшая трассировка выведет на заветное обращение к регистру eax
Дампим, востанавливаем импорт.
Из интересного в файле:
Получение апи адресов:
Реализация видимо своя, имена апи зашифрованы и передаются массиовом. В аттаче прикреплен .idb ы файл иды,
можете загрузить и посмотреть. Я немного проанализировал функции.
Обращение к жесткому диску:
До сих пор нпонятно зачем почему бот обращается к жесткому диску через DeviceIo (\\.\PhysicalDrive0)
DeviceIoControl(hObject, 0x2D1400u, &Dst, 0xCu, v2, nOutBufferSize, &BytesReturned, 0).
Думал ставит буткит, но не выяснил до конца
64 to 32:
Эта техника хорошо описана в статье http://hex.pp.ua/heavens-gate.php
Именно и из за него происходит падение в инжекте. Не сохраняется адрес возврата. Зачем вообще этот код.
Инжект в процессы:
Стартует %SysWOW%/explorer.exe и с помощью ZwUnmapViewSection инжектит код.
+содержит внутри длл, которая занимается поиском функций хрома и перехватом их.
трой пока сырой, надеюсь автор исправит ошибки
+в аттаче распакованный билд и файлы иды. я проаналищировал некотрые функции
