1. Do you speak English? Use the English version of the site! Link
    Скрыть объявление
Скрыть объявление
Здравствуй гость! После регистрации на ресурсе, ты сможешь скачивать материалы с форума и участвовать в его жизни! Для регистрации откройте соответствующую форму или нажмите на эту ссылку.

Часть третья - для истинных хакеров

Тема в разделе "Прочее", создана пользователем garikkk, 29.10.2015.

  1. garikkk

    garikkk Забанен

    Янв 11 2016 в 15:19
    Регистрация:
    13.10.2015
    Сообщения:
    169
    Симпатии:
    55
    Здравству, Хакер! ты знаешь проктически все в компьютерных системах? ты знаешь все пароли твоей общаги? У тебя нет друзей кроме компьютера и кота?
    Тогда ты пришел по адресу! Здесь мы будем вскрывать вирус, и изучать его вдоль и поперек.
    Итак, сестра! скальпель пожалуйста!
    но минутку? какой именно скальпель нам подойдет?
    действительно, изучить вирус голыми руками как в предыдущих разделах у нас не получится, посему идем за инструментами

    Wireshark
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Wireshark ведет анализ сетевого трафика. Позволяет увидеть весь трафик, который проходит через сеть!!!

    Manual Wireshark


    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    PEiD
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    PEiD (PE iDentifier) — инструмент для исследования PE файлов, позволяющий узнать компилятор, а следовательно, и язык программирования, использованный при написании программы, упаковщика или криптора.
    Поддерживает Drag&Drop (перетаскивание данных), мультисканирование (просмотр содержимого сразу целой папки), а также плагины, плюс имеет несколько встроенных утилит, таких как обозреватель процессов.
    Определение упаковщика осуществляется при помощи поиска сигнатуры. Текущая версия может определять 672 различных сигнатуры в PE файлах. Также можно добавить пользовательские сигнатуры. Есть возможность дизассемблирования файла. К недостаткам можно отнести то, что можно обойти алгоритм поиска его сигнатур, и он не найдет нужную сигнатуру.

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!



    Process Explorer
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Эта прога знает ВСЁ про запущенные приложения!!!

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    Дизассемблер OllyDbg
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    Resource Hacker
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Resource Hacker (ResHacker, или ResHack) — редактор ресурсов, программа, предназначенная для просмотра, извлечения и замены ресурсов в исполняемых Portable Executable файлах, используемых в 32- и 64-битных версиях операционной системы Microsoft Windows, например, .EXE или .DLL.

    С помощью этой программы можно производить поиск и замену иконок, изображений и текстовых строк в исполняемых файлах. Среди дополнительных возможностей программа имеет функции работы из командной строки.

    19 ноября 2009 года была выпущена бета версия 3.5.2, в которой была добавлена поддержка 64-битных исполняемых файлов и графических ресурсов в формате .PNG. И она оказалась последней.

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    оффтоп
    весь этот инструментарий был нагло скопипасчен из Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!статьи(там есть еще много хороших инструментов) большое спасибо POCT'у за весь этот софт


    Значит так, теперь у нас есть и скальпели, и шприцы, и даже клизмы, но нужен еще и операционный стол!

    использовать можно и свой компьютер, но есть верноятность заляпаться кровью, знаете. Так что, чтобы лишний раз не заражать компьютер, установим себе Виртуальную машину. О том как это сделать подробно описано Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    на виртуальную машину мы устанавливаем весь вышеперечисленный софт.

    теперь у нас есть и операционный стол, и инструменты, так-что можно приступать к вскрытию.

    как же это делается?

    1) в основном все вирусы упакованы, для придания меньшего размера. Чтобы увидеть код бинарника, нужно его распаковать. это можно проделать как и UPX'ом, так и отладчиком OllyDbg (это труднее)
    upx скачиваем Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Код:
    upx -d %Virusname%.exe
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    итак, распаковали. теперь запускаем peid. здесь мы видим,

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
    это значит, что троянец написан в дельфи.
    А если, например, написано
    Код:
    Not a valid PE file
    это значит, что софт написан на асме.

    Дальше нужно дизассемблировать код. Дизассемблер — транслятор, преобразующий машинный код, объектный файл или библиотечные модули в текст программы на языке ассемблера.

    когда мы это проделали, можем вдоволь изучать код. (правда для этого требуется знания ассемблера).
    В статье Onthar'a расписано изучение одной программы. статья Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    В целом, мы теперь знаем какое действие вирус оказывает на систему.

    Но есть так-же и второй метод анализа. Можно просто запустить вирус a591e9872cea62d96308105d73f76e01.gif
    но не просто так, при этом нужно включить Process Explorer, Wireshark и прочие программы, которые будут отлавливать действия вируса в "прямом эфире"

    таким образом мы тоже изучим вирус, но при этом мы, возможно, угробим виртуалку.

    Я думаю с этим мы тоже закончили. переходим к заключительной части статьи: Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
     
    #1 garikkk, 29.10.2015
    Последнее редактирование: 29.10.2015