Вы когда-нибудь задумывались о том, какова судьба вируса, пойманного антивирусными компаниями? О том, что происходит с ним ещё до добавления сигнатур в базу? А конкретнее, о вирусном анализе. Может показаться, что самому заниматься вирусным анализом сложно, ненужно и опасно, но на самом деле это совершенно не так.
Лишние умения никогда не повредят, да и полезно, иногда, посмотреть перед запуском, что из себя представляет скачанный с интернета исполняемый файл. Для начала работы сгодятся любые знания ассемблера, отладчик с дизассемблером и виртуальная машина на выбор.
Образцы вирусов для анализа можно, конечно, поискать самостоятельно в интернете, но мы с Вами для начала пойдём другим путём. Огромную коллекцию уже готовых для анализа вирусов можно взять на сайте vx.netlux.org. Первым приглянувшимся мне вирусом стал Trojan-Downloader.Win32.Zanoza.ab. Его подробнейшим анализом мы сейчас и займёмся. Кстати, неплохие описания вирусов можно посмотреть на сайте securelist.com.
Как вытащить занозу? Есть лайфхак👍 #shorts
Первым, что бросается в глаза, является размер файла — всего 1 901 байт. Можно подумать, что из-за малого размера весь функционал вируса будет виден как на ладони, но не будем торопиться. Убедимся в любом 16-ричном редакторе, что файл является исполняемым файлом Windows (по сигнатурам MZ и PE), и загрузим его в любой отладчик-дизассемблер. Картина открывается не радостная:
Мало того, что все секции и заголовки собраны в одну кучу, так и файл, очевидно, чем-то запакован. Далее можно пойти двумя путями. Первый – вручную трассировать программу до обнаружения точки входа и дальнейшее снятие дампа (новичку не рекомендуется). Второй более простой — попробовать определить упаковщик программы и распаковать её автоматически. Пойдём вторым путём. Загружаем программу в PIED:
Нам повезло, PIED успешно обнаружил упаковщик FSG. Скачиваем любой автоматический распаковщик FSG и успешно снимаем один слой защиты (например, Unfsg2.0):
Снова загрузим программу в отладчик-дизассемблер. Мы увидим ещё один слой защиты:
Да, взору открылась полная бессмыслица. Однако можно быть уверенным, что мы на правильном пути. Это вполне нормальный исполняемый код, только немного обфусцированный. Причём плохо обфусцированный: пригладитесь, код просто разбавлен ничего не делающими командами nop и ничего не значащими push reg и pop reg. Пролистаем программу немного вниз и увидим главный расшифровывающий цикл:
ЗАНОЗА В ПЯТКЕ | MEDPED
Трассируем программу вот до этого места:
И попадаем на уже полностью расшифрованный код программы (не забудьте обновить окно отладчика для корректного отображения команд):
Теперь снимем полученный дамп любым доступным Вам инструментом. Наконец, нам открылся некоторый функционал вируса:
Тут начинается непосредственный анализ. Первым делом при запуске вирус вызывает процедуру, расположенную по адресу 0х401128. Нетрудно догадаться, что эта функция создаёт командный файл с именем «c.bat», следующего содержания:
Идём дальше. После создания bat-файла программа запускает его на исполнение. Начинается крутиться бесконечный цикл попытки удаления файлов chkdsk*.exe, а так же самого исходного файла, путь к которому был бережно передан сценарию через параметр командной строки. Мы увидим на экране множество сменяющих друг друга окон консоли. Теперь идёт самое интересное.
Вирус порождает дочерний процесс svсhost.exe в приостановленном состоянии и записывает в него код размером 764 байта, расположенный начиная со смещения 0х401180. Очевидно, что исполняемый файл svсhost.exe был выбран с целью обхода некоторых не особо интеллектуальных файрволов и антивирусов, а также и для того, чтобы пользователь случайно не завершил работающий процесс вируса.
Куда же вирус производит инжект? Программист решил особо не напрягаться и просто перезаписал код, на который указывает точка входа исполняемого файла. Как он определил нужный адрес? Вирус банально подгрузил в своё адресное пространство образ svhost.exe функцией LoadLibraryEx.
А после этого уже легко определил нужный адрес по стандартным смещениям исполняемого файла Windows (данный участок кода расположен по адресам 0x4010A6 — 0x4010AC). Итак, инжект осуществлён и данному исполняемому файлу осталось лишь передать эстафету приостановленному процессу sсvhost.exе. Возникает вопрос, как исследовать заражённый процесс? Можно, конечно вручную выделить нужный код и затем отдельно его анализировать, но при этом его функциональность и работоспособность могут сильно пострадать. Я не долго думал и решил запустить все это на виртуальной машине и сдампить svсhost.exe во время его работы. Итак, трассируем основную программу до вызова ResumeThread, открываем ProcessExplorer:
И находим PID нужного нам процесса (в принципе, можно было узнать PID ещё в отладчике, ну да ладно). Переводим 1356 из 10 в 16-ричную систему, получим 0х54С. Далее запускаем LordPE и пытаемся снять дамп с процесса:
Видим, что у нас недостаточно прав для этого действия из-за того, что процесс уже отлаживается другой программой. Т.к. мы работаем в окружении виртуальной машины, то можно просто продолжить выполнение основной программы, после чего беспрепятственно снять нужный нам дамп. Внимание. Этот шаг совершается на Ваш страх и риск. У меня всё прошло благополучно, и я получил готовый для анализа заражённый файл svhost.exe:
Zanoza Она всегда подскажет, где сейчас ребенок Программа Zanoza отслеживает координаты мобильного телефона ребенка в on-line режиме Всего 5 простых. — презентация
Презентация на тему: » Zanoza Она всегда подскажет, где сейчас ребенок Программа Zanoza отслеживает координаты мобильного телефона ребенка в on-line режиме Всего 5 простых.» — Транскрипт:
2 Zanoza Она всегда подскажет, где сейчас ребенок
3 Программа Zanoza отслеживает координаты мобильного телефона ребенка в on-line режиме Всего 5 простых шагов!
4 Скачайте приложение на телефон по ссылке
5 Перейдите по ссылке и зарегистрируйтесь в системе наблюдения Всего 2 минуты!
6 Подтвердите регистрацию по и зайдите в Ваш личный кабинет
7 *Зайдите в раздел «Мои объекты» *Нажмите кнопку «+Добавить» *Введите имя вашего ребенка и ID устройства, которое написано в приложении и нажмите «ДОБАВИТЬ»
8 В открытом приложении нажмите кнопку «СТАРТ» и подождите пока телефон привяжется.
9 В разделе «Карта» смотрите, где Ваш ребенок
10 Теперь Вы точно знаете, где Ваш ребенок: — сейчас — был вчера — был на прошлой неделе
Источник: www.myshared.ru
Что за программа заноза
Или войти с помощью одного из сервисов
Подписчики 0
Zanoza Modeller — ZMODELLER 2.2.3 — RUS
Опубликовал Гость stibs , 24 августа, 2017
В теме 1 сообщение
Подписчики 0
Последние посетители 0 пользователей онлайн
Ни одного зарегистрированного пользователя не просматривает данную страницу
Похожий контент
Всем привет ! Сегодня я вам покажу новые анимации для sa-mp и cr-mp
— Открываем корневую папку с игрой
анимациями !
— Открываем папку «anim»
— Кидаем туда скаченный вами файл с заменой
— Перед установкой анимаций сохраните файл «ped.ifp» в отдельную папку. Это для того если новые анимации вам не понравятся или станут скучными то просто кидаете этот файл обратно и ваши старые анимации
Теперь вы можете заходить в игру и наслаждаться новыми анимациями.
Скачать
С помощь этой программы вы сможете изменять абсолютно всё оружие в игре, а так же автомобили, скины и так далее. В версии 1.5(новая) теперь можно изменять несколько обьектов одновременно, для экономии времени. Программа очень проста в интерфейсе. Скачать
От Гость stibs
Здорово всем форумчане!
Вышла новая версия убожественной программы под названием «KronkaBinder»
Автор скрипта на AutoHotKey — Квас
Автор перевода на EXE файл и адаптации на CRMP 0.3e — Kronka
Новая версия была изменена, всё лишнее было убрано
Всё что добавлено есть на видео, всем удачи
Смотрите видео, в описании подробности:
Скачать
От Гость stibs
Объединенный Русский Мод» набрал огромную популярность после выхода GTA Криминальная Россия beta 2 в 2010 году, проект набирал обороты, планы и идеи постепенно воплощались в жизнь, но спустя некоторое время события начали развиваться как в кошмарном сне.
Mixazzz — главный разработчик мода перешел на более перспективный движок, ну и перенес все наработки CR на RAGE, а проект на всеми любимой SA был заморожен на неопределенное время, и впоследствии заброшен.
GTA Криминальная Россия — Нижегородск (beta 3) включает в себя сам город и электростанцию на юге карты. Это последняя сборка мода перед его закрытием. Нижегородск — очень красивый вымышленный город, его изюминкой является грандиозная городская архитектура. Некоторые здания исторического центра есть в реальных городах, таких как Москва, Нижний Новгород, реальный прототип здания вокзала из Екатеринбурга.
Станция метро «Международная» в GTA КР в точности повторяет «Маяковскую» московского метрополитена. Проехав пару сотню метров от вокзала можно найти наземный вестибюль этой станции и спуститься по эскалаторам вниз. Эскалаторы полностью анимированы, турникеты открываются, двери вестибюля в точности как в реальной жизни, по платформам ходят люди.
Ночной Нижегородск необычно красив. Источники света освещают не только улицы, но и здание вокзала, скверы и жилые дома. Фасады зданий ночью отлично выделяют красоту элементов архитектуры, такого красивого города в GTA еще не было, и уверен, переплюнуть мод GTA Криминальная Россия beta 3 (так его теперь называют) вряд ли кто сможет! Что есть еще нового?
Помимо новых городских районов, Эдово и электростанции нельзя не заметить панель вверху экрана при посадке в авто. За основу была взята панель из игры «Дальнобойщики 2», показывающая не только уровень бензина в баке, а и другую информацию. Кататься бесконечно долго на автомобиле теперь не выйдет, так как со временем топливо расходуется и для его дозаправки придется ехать на ближайшую АЗС. Заправочные станции в идеале должны были находиться по всей карте, местоположение бензоколонок отмечено на радаре.
Как установить? Для установки этого дополнения вам потребуется чистая GTA San Andreas, в корневую папку установленной SA закидывайте все файлы из скачанного архива. Замену подтверждайте.
Что делать если игра не запускается? У многих пользователей, имеющих у себя новые версии Windows наблюдается проблема с запуском игры.
На Windows 7 работоспособность неоднократно тестировалась, и если вы правильно все распаковали, то у вас проблем с запуском быть не должно. На Windows 10 и 8 ставьте совместимость с Windows XP, в таком случае игра должна загрузиться. Если проблема не исчезает, пробуйте удалять файлы .cs из папки CLEO по очереди.
От Гость stibs
Что такое CamHack 1.2 — 64bit? Это программа, предназначенная для свободного передвижения (полета) камеры в игре. Подходит для записи крутых видео в игре.
1.2 — это версия программы, актуальная на момент 12 марта 2016 года.
64bit — разрядность операционной системы.
Как установить?
Скачиваем dx8vb.dll Скачиваем сам CamHack Кидаем dx8vb.dll в C:WindowssysWOW64 Запускаем кмд(командную строку) от имени администратора Пишем в командную строку : cd c:windowssyswow64 и жмем Enter Далее пишем : regsvr32 dx8vb.dll и жмем Enter,тоже самое делаем с dx7vb.dll Кидаем CamHack в папку с игрой. Скачать
- Язык
- Тема NOT UNCOMMENT
- Язык
- Тема
- Политика конфиденциальности
- Обратная связь
Работает на IPS Community Suite 4
2017 — н.в. PAWNO-RUS.RU
При копировании материалов с сайта ссылка на наш форум обязательна!
Вы видите это сообщение, так как вы не вошли или не зарегистрировались. Чтобы получить более расширенные возможности войдите или зарегистрируйтесь.
Однако без регистрации Вы также сможете пользоваться форумом.
- Уже зарегистрированы? Войти
- Регистрация
Источник: pawno-rus.ru