Welcome Guest ( Log In | Register )

Help | Search | Members | Calendar

Pages: (2) [1] 2   ( Go to first unread post )
virus debug, reverse engeenering
« Next Oldest | Next Newest » Track this topic | Email this topic | Print this topic
aramt
Posted: Jun 5 2005, 18:01

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

Первый поверхостный анализ кода.

Executable можно найдти тут http://forum.vision.am/index.php?act=ST&f=...83&t=3534&st=20



Сперва, прямо после запуска, вызовом
push 2000
call Sleep
процесс не знаешь почему замораживает себя на 2 секунды tongue.gif biggrin.gif

user posted image


Потом сразу же программа копирует саму себя в файл
"c:\windows\system32\svcroot.exe"
user posted image



после создает в системном регистре следующие записи
svcroot REG_SZ c:\windows\system32\svcroot.exe
по кординатам
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
используя RegCreateKeyEx(...)
user posted image

наверняка эта запись в регистре является катализатором вируса при запуске операционной системы


после программа используя GetVersion() определяет версию windows
для Windows NT,2000,XP,2003 выполняет одну а для
Windows 95,98,Me переходит на другую
сравнивая последный старший бит возвращаемого значения процедуры GetVersion(),
в регистре EAX.
user posted image



после программа используя
CreateToolHelp32SnapShot(...), Process32First(...), Process32Next(...)
находит идентификатор процесса "explorer.exe"
user posted image
 
      Top
aramt
  Posted: Jun 5 2005, 18:04

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

после, используя OpenProcess открывает доступ к процессу "explorer.exe" и освобождает некоторую область виртуального адресного пространства используя VirtualFreeEx,
потом резервирует некоторую область используя VirtualAllocEx
user posted image

после изменяет уровень защиты некоторых страниц и пишет вних определённые данные.
user posted image

потом, почему то используя GetModuleHandle для "kernel32.dll" и GetProcAddress для "CreateRemoteThread" получает адрес CreateRemoteThread.

разве для вызова это было объязательно ? ?

наконец
call eax
вызывает CreateRemoteThread

user posted image


таким образом создавая поток выполняющийся на чужом адресном пространстве, в адресном пространстве процесса "explorer.exe". ohmy.gif

Зачем это сделано ?
может для того чтоб далее используя сокеты для соеденения, чтоб обмануть firewall ?

Какие есть мнения ?
 
      Top
JOKER
Posted: Jun 5 2005, 18:14

Light Bringer

Group: Elite Member
Member No.: 557

Joined: January 23, 2004

QUOTE
Зачем это сделано ?
может для того чтоб далее используя сокеты для соеденения, чтоб обмануть firewall ?

Какие есть мнения ?

Неизвестно почему, но большинство пользователей, даже если есть firewall, обычно разрешают explorer.exe свободный доступ в инет. Зачем? Неизвестно. И если правильно помню, то этот самый троян регистрировал gorsys32.dll в качестве одного из модулей explorer.exe. ИМХО, стандартное поведение трояна из серии "так себе троян".

--------------------
What I've always wanted is to take things that are opaque and make them transparent, to understand, to capture the moments in time where things all make sense.

Adrian Lamo
 
       Top
aramt
Posted: Jun 5 2005, 18:29

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

QUOTE
этот самый троян регистрировал gorsys32.dll в качестве одного из модулей explorer.exe


При определённых обстоятельствах создавался какой-то gorsys32.dll в директории system32.
Пока что не знаю что в этот dll он запыхнул и зачем его создал.
 
      Top
shmel
Posted: Jun 5 2005, 19:48

Wise Dreamer

Group: Banned
Member No.: 1294

Joined: May 21, 2005

QUOTE (In the immortal words of BlackCode, since Jun 5 2005, 18:29)

При определённых обстоятельствах создавался какой-то gorsys32.dll в директории system32.
Пока что не знаю что в этот dll он запыхнул и зачем его создал.

Gorsys32.dll - это хранилище кейлоггера.

Извините за то, что я пихнул это дерьмо на форум

--------------------
www.lug.am -- Armenian Linux Users Group
forum.lug.am -- Форум ArmLUG
 
       Top
arnix
Posted: Jun 6 2005, 12:12

Challenger

Group: Moderator
Member No.: 869

Joined: July 31, 2004

QUOTE

таким образом создавая поток выполняющийся на чужом адресном пространстве, в адресном пространстве процесса "explorer.exe". ohmy.gif

Зачем это сделано ?
может для того чтоб далее используя сокеты для соеденения, чтоб обмануть firewall ?


так точно, надеясь на то что эксплорер имеет доступ к инету. A у меня способ лучше smile.gif сначала создаю DLL с "вредоносным кодом", регистрирую эту DLL в автозагрузку (есть и такая возможность в виндах, после этого с каждым стартом винды ДЛЛ работает, а процесса нет, юзвери низачто не заметят), а оттуда уже я нахожу default-браузер, создаю его невидимый процесс, проникаю в него и делаю что хочу smile.gif Браузер-то точно имеет доступ к инету, а из ДЛЛ-ки слежу чтоб процесс не закрывали (как только закроют, чepe3 некоторое время потом опять создаю smile.gif
всё вышесказанное вымешлено, ничего такого я не делаю wink.gif

Кстати, копаться в вирусах занятье очень интересное smile.gif
 
    Top
JOKER
Posted: Jun 6 2005, 14:33

Light Bringer

Group: Elite Member
Member No.: 557

Joined: January 23, 2004

QUOTE (In the immortal words of arnix, since Jun 6 2005, 13:12...)
так точно, надеясь на то что эксплорер имеет доступ к инету. A у меня способ лучше smile.gif сначала создаю DLL с "вредоносным кодом", регистрирую эту DLL в автозагрузку (есть и такая возможность в виндах, после этого с каждым стартом винды ДЛЛ работает, а процесса нет, юзвери низачто не заметят), а оттуда  уже я нахожу default-браузер, создаю его невидимый процесс, проникаю в него и делаю что хочу smile.gif Браузер-то точно имеет доступ к инету, а из ДЛЛ-ки слежу чтоб процесс не закрывали (как только закроют, чepe3 некоторое время потом опять создаю smile.gif

Вот за что и люблю Outpost smile.gif Единственный ликтест, который он стабильно проваливает с дефолтными настройками - это когда информация передаётся через svchost.exe, маскируясь под днс запрос.

--------------------
What I've always wanted is to take things that are opaque and make them transparent, to understand, to capture the moments in time where things all make sense.

Adrian Lamo
 
       Top
aramt
Posted: Jun 6 2005, 23:07

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

Shmel
QUOTE
Gorsys32.dll - это хранилище кейлоггера.


что такое keylogger ?

QUOTE
Извините за то, что я пихнул это дерьмо на


для многих это может и деремо, но для меня нет biggrin.gif

объект изучения

скоро тебе попрошу отправить мне побольше "удобрения" laugh.gif
вирусов, троЯнов ...

хотя подобное по e-mail-у freenet-а мне часто отправляют, а я автоматически стираю заразные сообщения, а иногда как-то определяю отправителя и посылаю пару предложении с "ласковыми" словами.
Зато скоро буду их благодарить и просить посылать по больше .. biggrin.gif пополняя папку с заразными файлами
 
      Top
aramt
Posted: Jun 6 2005, 23:14

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

QUOTE
в виндах, после этого с каждым стартом винды ДЛЛ работает, а процесса нет, юзвери низачто не заметят

интересто, следует попробовать.

QUOTE

а оттуда уже я нахожу default-браузер, создаю его невидимый процесс,


не понял, процесс browser-а уже существует, из невидимого процесса .dll следует получить доступ к адресному пространству процесса browser-а и запыхнуть туда всякую гадость и создать тред если я правильно тебя понял.
О каком дополнительном 3-ем невидемом процессе идёт речь ?
не понял, заного создаёшь процесс browser-а ?


QUOTE
Кстати, копаться в вирусах занятье очень интересное


как видешь меня сильно тянет ... tongue.gif
 
      Top
aramt
Posted: Jun 6 2005, 23:21

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

Arnix джан отправь мне парочку своих творении. smile.gif

на blackcode@yandexx.ru

не забудь удалить один 'x'

надеюсь антивирус yandex-а ничего не заподозрит
 
      Top
aramt
Posted: Jun 6 2005, 23:42

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

Кстати читая разные учебники у меня сложилось впечатление, что адресные пространства разных процессов защищены друг от друга и никак не возможно одному процессу вмешаться в адресное пространство другого процесса. Если различным процессам нужны общие данные тогда надо использовать всякий mapping ...
Но оказывается, что операционная система windows это позволяет, правда не напрямую а через процедуры kernel32.dll (под контролем ядра).
Правда если не ошибаюсь для этого под windows NT процесс должен иметь административные привилегии, это означает что действия вируса обречены на провал, если его запускать как процесс имеющий не более чем обыкновенные user привилегии.
Но тут у меня есть одна идея.

Вырус записывает себя в какой нибуть start-up список и при каждом запуске проверяет уровень привилегии своего процесса.
Если это обычный "user" сразу же ExitProcess(0).
Если есть административный доступ, тогда начинает своё чёрное дело.

Тоесть смысл в том, чтоб ждать пока кто-то не зайдёт административным account-ом,
ждать пока администратор не логнет и тогда баах. tongue.gif
 
      Top
arnix
Posted: Jun 7 2005, 10:58

Challenger

Group: Moderator
Member No.: 869

Joined: July 31, 2004

QUOTE

не понял, процесс browser-а уже существует, из невидимого процесса .dll следует получить доступ к адресному пространству процесса browser-а и запыхнуть туда всякую гадость и создать тред если я правильно тебя понял.
О каком дополнительном 3-ем невидемом процессе идёт речь ?
не понял, заного создаёшь процесс browser-а ?


а кто сказал что процесс брацзера должен быть обязательно существовать?


QUOTE

Arnix джан отправь мне парочку своих творении.


я же сказал всё это вымешлено biggrin.gif скажи что именно ты хочешь, и я отправлю тебе кусок кода wink.gif
 
    Top
aramt
  Posted: Jun 7 2005, 22:47

Wise Dreamer

Group: Elite Member
Member No.: 597

Joined: February 4, 2004

QUOTE
я же сказал всё это вымешлено biggrin.gif
cool.gif


QUOTE
скажи что именно ты хочешь, и я отправлю тебе кусок кода


Хочу всеголишь интересный объект изучения.
Если уже есть по теме интересные кускы кода тогда посылай smile.gif
А если для меня собирался писать, не надо это и я умею,
главное это идея, если есть интересные мысли я в полном твоём внимании,
а с остальными техническими проблемами думаю сам справлюсь.

Кстати как создаётся невидимый процесс ?
этот процесс невидим для кого ?

есть ли у тебя документация на эту тему ?
 
      Top
malloc
  Posted: Jun 8 2005, 10:25

Word Thrower

Group: Member
Member No.: 1071

Joined: December 5, 2004

QUOTE (In the immortal words of BlackCode, since Jun 7 2005, 22:47)
cool.gif




Хочу всеголишь интересный объект изучения.
Если уже есть по теме интересные кускы кода тогда посылай smile.gif
А если для меня собирался писать, не надо это и я умею,
главное это идея, если есть интересные мысли я в полном твоём внимании,
а с остальными техническими проблемами думаю сам справлюсь.

Кстати как создаётся невидимый процесс ?
этот процесс невидим для кого ?

есть ли у тебя документация на эту тему ?

да!да!И мне тожЭ!!!!!!!

--------------------
We all gona die
 
      Top
shmel
Posted: Jun 8 2005, 15:27

Wise Dreamer

Group: Banned
Member No.: 1294

Joined: May 21, 2005

QUOTE (In the immortal words of BlackCode, since Jun 6 2005, 23:07)
Shmel


что такое keylogger ?



для многих это может и деремо, но для меня нет biggrin.gif

объект изучения

скоро тебе попрошу отправить мне побольше "удобрения" laugh.gif
вирусов, троЯнов ...

хотя подобное по e-mail-у freenet-а мне часто отправляют, а я автоматически стираю заразные сообщения, а иногда как-то определяю отправителя и посылаю пару предложении с "ласковыми" словами.
Зато скоро буду их благодарить и просить посылать по больше .. biggrin.gif пополняя папку с заразными файлами

Keylogger - вид троянов, которые записывают все нажатия клавиатуры в файл, а потом отправляют их по мылу.

Если надо, то могу снабжать! biggrin.gif

PS : дай мне свое мыло и я вышлю тебе сорцы Mydoom.a...

--------------------
www.lug.am -- Armenian Linux Users Group
forum.lug.am -- Форум ArmLUG
 
       Top
malloc
Posted: Jun 8 2005, 17:19

Word Thrower

Group: Member
Member No.: 1071

Joined: December 5, 2004

QUOTE (In the immortal words of shmel, since Jun 8 2005, 15:27...)
QUOTE (In the immortal words of BlackCode, since Jun 6 2005, 23:07...)
Shmel


что такое keylogger ?



для многих это может и деремо, но для меня нет  biggrin.gif

объект изучения

скоро тебе попрошу отправить мне побольше "удобрения"  laugh.gif
вирусов, троЯнов ...

хотя подобное по e-mail-у freenet-а мне часто отправляют, а я автоматически стираю заразные сообщения, а иногда как-то определяю отправителя и посылаю пару предложении с "ласковыми" словами.
Зато скоро буду их благодарить и просить посылать по больше .. biggrin.gif  пополняя папку с заразными файлами

Keylogger - вид троянов, которые записывают все нажатия клавиатуры в файл, а потом отправляют их по мылу.

Если надо, то могу снабжать! biggrin.gif

PS : дай мне свое мыло и я вышлю тебе сорцы Mydoom.a...

если мне не изменяет память (а с кем вы спросите wink.gif ) то сорец майдума лежал на www.astalavista.com .. я прав??

--------------------
We all gona die
 
      Top
arnix
Posted: Jun 9 2005, 16:41

Challenger

Group: Moderator
Member No.: 869

Joined: July 31, 2004

QUOTE (In the immortal words of BlackCode, since Jun 7 2005, 22:47)
В)




Хочу всеголишь интересный объект изучения.
Если уже есть по теме интересные кускы кода тогда посылай :)
А если для меня собирался писать, не надо это и я умею,
главное это идея, если есть интересные мысли я в полном твоём внимании,
а с остальными техническими проблемами думаю сам справлюсь.

Кстати как создаётся невидимый процесс ?
этот процесс невидим для кого ?

есть ли у тебя документация на эту тему ?

QUOTE (In the immortal words of BlackCode, since Jun 7 2005, 22:47...)
Хочу всеголишь интересный объект изучения.
Если уже есть по теме интересные кускы кода тогда посылай :)
А если для меня собирался писать, не надо это и я умею,
главное это идея, если есть интересные мысли я в полном твоём внимании,
а с остальными техническими проблемами думаю сам справлюсь.

Кстати как создаётся невидимый процесс ?
этот процесс невидим для кого ?

есть ли у тебя документация на эту тему ?

Говоря невидимый процесс я имел ввиду процесс с невидимым окном, функция

HINSTANCE ShellExecute(

HWND hwnd, // handle to parent window
LPCTSTR lpOperation, // pointer to string that specifies operation to perform
LPCTSTR lpFile, // pointer to filename or folder name string
LPCTSTR lpParameters, // pointer to string that specifies executable-file parameters
LPCTSTR lpDirectory, // pointer to string that specifies default directory
INT nShowCmd // whether file is shown when opened
);

где nShowCmd = SW_HIDE


а если хочешь скрыть процесс от TaskManager подобных программ, читай прикреплённый документ.

Насчёт хороших мыслей которых ты хотел :) код у меня есть, но привожу не код а мысли, чтоб тебе интересно было писАть :)

Например хочешь чтоб твой DLL грузился с каждым стартом винд (выполнится код на точке входа в DLL, а не какая нибудь функция из ДЛЛ).

1. Создаём GUID с помошью CoCreateGuid

2. Переводим его в строку с помошью StringFromCLSID

3. Переводим полученный UNICODE строку в нормальную (алго придумай сам ;)

4. В "Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" создаёшь новый ключ с полученной строкой,
например MyDLLProg - "{B775660E-13A8-480E-9C55-615D0A705F5F}"

5. Последний шаг пять я послал тем кому надо по привату...

А так читай эл. журнал 29A если уж так приспичило к вирмейкингу, там есть всё :) Я это дело как-то бросил после бурного изучения, unpacking/reversing/cracking интнресней помоему :)
 
    Top
arnix
Posted: Jun 9 2005, 16:43

Challenger

Group: Moderator
Member No.: 869

Joined: July 31, 2004

Забыл прикрепить....

User Attached Image Download attachment
How_to_become_unseen_on_Windows_NT.zip ( Number of downloads: 493 )


 
    Top
Michael
Posted: Jun 10 2005, 17:30

Mind Rider

Group: Elite Member
Member No.: 610

Joined: February 9, 2004

на wzor.net появилась книжка John Wiley & Sons - Reversing: Secrets of Reverse Engineering.
for freenet users
http://freenet.am/~baloo/10721.zip

--------------------
IThelp.am
J!lopx!lvoh!gv
 
      Top
arnix
Posted: Jun 10 2005, 21:13

Challenger

Group: Moderator
Member No.: 869

Joined: July 31, 2004

Это первозданная версия или поправленная? Я еще месяц назад качал Wiley.Reversing.Secrets.of.Reverse.Engineering.Apr.2005.eBook-DDU.rar, но там есть не правильные вещи и команда DDU релизнула еще один раз, fixed версию - Wiley.Reversing.Secrets.of.Reverse.Engineering.Apr.2005.Fixed.eBook-DDU.rar). Если там старая, то вот новая: http://rapidshare.de/files/2204505/mswi-fi...ed-DDU.zip.html
 
    Top
20 replies since Jun 5 2005, 18:01 Track this topic | Email this topic | Print this topic
Pages: (2) [1] 2 
<< Back to System and low-level programming

 




Arminco Global Telecommunications