 Autor
|
Tema: Duda en análisis de malware (Leído 5,005 veces)
|
w0nt0n
 Desconectado
Mensajes: 124
|
Buenas!
Me estoy dedicando a analizar un poco de malware y me surge una duda.
El programa es una versión del Security Shield 2011 (rogue). Viene comprimido con un compresor desconocido para el PeID o el RDG. Tras jugar un rato, llegué al OEP (o lo que yo creía que era el OEP). Hago el dump, arreglo la IAT (sin problemas) y, cuando todo parece que va como la seda, el programa no arranca. Bueno, sí arranca pero se estropea enseguida. Como no tengo nidea de por qué puede pasar, arranco los dos exes (el original y el dumpeado) y, una vez el original está en el OEP, comparo cómo se van ejecutando. Me fijo en que, para una función que parece tener el mismo nombre, el original lo carga desde ntll y en el dumpeado la arranca desde kernel32. No entiendo por qué pasa esto.
Al final lo que hice fue esperar a que la rutina de desempacado cargara el programa original en la memoria y lo dumpee desde allí, pero sigo sin entender por qué el dumpeado no funcionaba.
¡A ver si me podéis echar una mano!
Saludos!
|
|
|
|
|
En línea
|
No quisiera parecer marica, pero los unicornios son una *****.
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
Muy por encima de tu desempacado...
Recuerdo que muchas funciones que antes estaban en kernel32, ahora le pertenecen a ntdll, y aveces en las entradas del grupo de kernel32 de la iat, veras algunas que pertenecen a la ntdll por la razón que mencioné, pero la verdad no te debería de dar problemas, me ha pasado muchas veces y corre de lo mas normal, algo más debe estar pasando.
Nox.
|
|
|
|
|
En línea
|
|
|
|
w0nt0n
Desconectado
Mensajes: 124
|
Gracias por tu respuesta.
Supongo que tienes razón pero el problema está en que la dirección que me devuelve dicha función es distinta en función (valga la rebuznancia) de si se carga desde kernel32 o de ntdll. Esa dirección la usa poco después para un salto y lo que sucede es que se va a una parte de la memoria que no tiene más que morralla, con lo que tendría que parchear el salto para que vaya adonde toca pero dado que no es un salto fijo (coge el valor de eax), si lo cambio lo más probable es que pete por otro lado. Sigo buscando
Saludos!
|
|
|
|
|
En línea
|
No quisiera parecer marica, pero los unicornios son una *****.
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
entonces las entradas a la iat no son las correctas, revisa el original, a que función específicamente va a y agrégalo a mano, es lo que se me ocurre por ahora.
Nox.
|
|
|
|
|
En línea
|
|
|
|
|
.:UND3R:.
|
Yo verificaría lo mismo que dice NOX, debes intentar encontrar el salto entre una estructura de la IAT correcta y una incorrecta ahí ver si se puede nopear, también puede ser que el programa contenga comprobaciones. como tamaño final del archivo, comprobación, crc, e incluso nombre del archivo. Para comprobar CRC cambia un nombre de la sección del empaquetado, si no abre es CRC, agrega bit's 0 en el original de 1000 en 1000 bite's con un editor hexadecimal hasta aumentar su tamaño el doble o triple, si no abre es por que detecta el peso, renombra el original con otro nombre ejemplo por ejemplo1 si no abre es por que comprueba el nombre de la aplicación. En sí debes investigar y comparar como trabaja desde el OEP tanto el empaquetado con el unpack
Saludos
|
|
|
|
« Última modificación: 9 Febrero 2012, 18:27 pm por .:UND3R:. »
|
En línea
|
 Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM) |
|
|
w0nt0n
Desconectado
Mensajes: 124
|
Gracias a todos por las respuestas.
Al final lo que hice fue arreglar la IAT "a mano" y funcionó sin problemas. Supongo que había algún problema con el ImpRec al hacerlo todo automático.
Saludos!
|
|
|
|
|
En línea
|
No quisiera parecer marica, pero los unicornios son una *****.
|
|
|
Иōҳ
Desconectado
Mensajes: 563
|
Gracias a todos por las respuestas.
Al final lo que hice fue arreglar la IAT "a mano" y funcionó sin problemas. Supongo que había algún problema con el ImpRec al hacerlo todo automático.
Saludos!
El ImportRec te avisa cuando una entrada está mal, o tal vez no estabas poniendo bien los datos que te pide para poder reparar correctamente... Que ver tienes del ImportRec? Nox.
|
|
|
|
|
En línea
|
|
|
|
w0nt0n
Desconectado
Mensajes: 124
|
Buenas,
La versión del importrec es la 1.4.2 creo. La tenía por ahí de hace unos años que me dio un poco por el cracking. No sé (ni me he molestado en buscar) si hay alguna nueva, pero hasta este problemilla iba todo de cine. De hecho, acabo de terminar de unpackear y hacer correr sin problemas otro malware (internet security) con la misma versión. No sé. Era algo muy raro. Quizás parte del problema era que estaba corriendo todo en VM y no me fijé en los métodos de protección antiVM (ya que sin debugger parecía correr sin problema) e igual me cogieron por ahí. Pero bueno, que tampoco te quite el sueño (aunque te agradezco mucho el empeño).
Saludos!
|
|
|
|
|
En línea
|
No quisiera parecer marica, pero los unicornios son una *****.
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
analisis y diseno de malware
« 1 2 »
Sugerencias y dudas sobre el Foro
|
YST
|
17
|
10,505
|
21 Junio 2009, 23:51 pm
por Littlehorse
|
|
|
|
avast! infection detected en subforo analisis y diseño de malware
Seguridad
|
xiruko
|
2
|
3,456
|
22 Abril 2012, 14:10 pm
por xiruko
|
|
|
|
G Data ofrece la mejor detección de malware en el último análisis de AV ....
Noticias
|
wolfbcn
|
0
|
1,989
|
26 Abril 2012, 17:51 pm
por wolfbcn
|
|
|
|
Análisis de Malware VB
Ingeniería Inversa
|
Иōҳ
|
7
|
6,483
|
10 Mayo 2012, 20:07 pm
por MCKSys Argentina
|
|
|
|
Análisis, Malware ACAD/Medre
Análisis y Diseño de Malware
|
Иōҳ
|
1
|
3,074
|
27 Junio 2012, 23:04 pm
por Иōҳ
|
 |
