elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Duda en análisis de malware
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda en análisis de malware  (Leído 3,350 veces)
w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Duda en análisis de malware
« en: 8 Febrero 2012, 19:48 pm »

Buenas!

Me estoy dedicando a analizar un poco de malware y me surge una duda.

El programa es una versión del Security Shield 2011 (rogue). Viene comprimido con un compresor desconocido para el PeID o el RDG. Tras jugar un rato, llegué al OEP (o lo que yo creía que era el OEP). Hago el dump, arreglo la IAT (sin problemas) y, cuando todo parece que va como la seda, el programa no arranca. Bueno, sí arranca pero se estropea enseguida. Como no tengo nidea de por qué puede pasar, arranco los dos exes (el original y el dumpeado) y, una vez el original está en el OEP, comparo cómo se van ejecutando. Me fijo en que, para una función que parece tener el mismo nombre, el original lo carga desde ntll y en el dumpeado la arranca desde kernel32. No entiendo por qué pasa esto.

Al final lo que hice fue esperar a que la rutina de desempacado cargara el programa original en la memoria y lo dumpee desde allí, pero sigo sin entender por qué el dumpeado no funcionaba.

¡A ver si me podéis echar una mano!

Saludos!
En línea

No quisiera parecer marica, pero los unicornios son una *****.
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Duda en análisis de malware
« Respuesta #1 en: 9 Febrero 2012, 16:23 pm »

Muy por encima de tu desempacado...

Recuerdo que muchas funciones que antes estaban en kernel32, ahora le pertenecen a ntdll, y aveces en las entradas del grupo de kernel32 de la iat, veras algunas que pertenecen a la ntdll por la razón que mencioné, pero la verdad no te debería de dar problemas, me ha pasado muchas veces y corre de lo mas normal, algo más debe estar pasando.

Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Re: Duda en análisis de malware
« Respuesta #2 en: 9 Febrero 2012, 17:52 pm »

Gracias por tu respuesta.

Supongo que tienes razón pero el problema está en que la dirección que me devuelve dicha función es distinta en función (valga la rebuznancia) de si se carga desde kernel32 o de ntdll. Esa dirección la usa poco después para un salto y lo que sucede es que se va a una parte de la memoria que no tiene más que morralla, con lo que tendría que parchear el salto para que vaya adonde toca pero dado que no es un salto fijo (coge el valor de eax), si lo cambio lo más probable es que pete por otro lado. Sigo buscando

Saludos!
En línea

No quisiera parecer marica, pero los unicornios son una *****.
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Duda en análisis de malware
« Respuesta #3 en: 9 Febrero 2012, 18:10 pm »

entonces las entradas a la iat no son las correctas, revisa el original, a que función específicamente va a y agrégalo a mano, es lo que se me ocurre por ahora.

Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Duda en análisis de malware
« Respuesta #4 en: 9 Febrero 2012, 18:24 pm »

Yo verificaría lo mismo que dice NOX, debes intentar encontrar el salto entre una estructura de la IAT correcta y una incorrecta ahí ver si se puede nopear, también puede ser que el programa contenga comprobaciones. como tamaño final del archivo, comprobación, crc, e incluso nombre del archivo. Para comprobar CRC cambia un nombre de la sección del empaquetado, si no abre es CRC, agrega bit's 0 en el original de 1000 en 1000 bite's con un editor hexadecimal hasta aumentar su tamaño el doble o triple, si no abre es por que detecta el peso, renombra el original con otro nombre ejemplo por ejemplo1 si no abre es por que comprueba el nombre de la aplicación. En sí debes investigar y comparar como trabaja desde el OEP tanto el empaquetado con el unpack

Saludos
« Última modificación: 9 Febrero 2012, 18:27 pm por .:UND3R:. » En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Re: Duda en análisis de malware
« Respuesta #5 en: 13 Febrero 2012, 19:51 pm »

Gracias a todos por las respuestas.

Al final lo que hice fue arreglar la IAT "a mano" y funcionó sin problemas. Supongo que había algún problema con el ImpRec al hacerlo todo automático.

Saludos!
En línea

No quisiera parecer marica, pero los unicornios son una *****.
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Duda en análisis de malware
« Respuesta #6 en: 14 Febrero 2012, 05:12 am »

Gracias a todos por las respuestas.

Al final lo que hice fue arreglar la IAT "a mano" y funcionó sin problemas. Supongo que había algún problema con el ImpRec al hacerlo todo automático.

Saludos!

El ImportRec te avisa cuando una entrada está mal, o tal vez no estabas poniendo bien los datos que te pide para poder reparar correctamente...

Que ver tienes del ImportRec?

Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
w0nt0n

Desconectado Desconectado

Mensajes: 124



Ver Perfil
Re: Duda en análisis de malware
« Respuesta #7 en: 14 Febrero 2012, 20:06 pm »

Buenas,

La versión del importrec es la 1.4.2 creo. La tenía por ahí de hace unos años que me dio un poco por el cracking. No sé (ni me he molestado en buscar) si hay alguna nueva, pero hasta este problemilla iba todo de cine. De hecho, acabo de terminar de unpackear y hacer correr sin problemas otro malware (internet security) con la misma versión. No sé. Era algo muy raro. Quizás parte del problema era que estaba corriendo todo en VM y no me fijé en los métodos de protección antiVM (ya que sin debugger parecía correr sin problema) e igual me cogieron por ahí. Pero bueno, que tampoco te quite el sueño (aunque te agradezco mucho el empeño).

Saludos!
En línea

No quisiera parecer marica, pero los unicornios son una *****.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
analisis y diseno de malware « 1 2 »
Sugerencias y dudas sobre el Foro
YST 17 6,906 Último mensaje 21 Junio 2009, 23:51 pm
por Littlehorse
avast! infection detected en subforo analisis y diseño de malware
Seguridad
xiruko 2 1,997 Último mensaje 22 Abril 2012, 14:10 pm
por xiruko
G Data ofrece la mejor detección de malware en el último análisis de AV ....
Noticias
wolfbcn 0 1,273 Último mensaje 26 Abril 2012, 17:51 pm
por wolfbcn
Análisis de Malware VB
Ingeniería Inversa
Иōҳ 7 4,305 Último mensaje 10 Mayo 2012, 20:07 pm
por MCKSys Argentina
Análisis, Malware ACAD/Medre
Análisis y Diseño de Malware
Иōҳ 1 1,988 Último mensaje 27 Junio 2012, 23:04 pm
por Иōҳ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines