• Reto Analyze me#1

 #277131  por m4rtyr
 15 Mar 2011, 20:17
estava en el facebook y un amigo mio tenia un post con un enlace a exe , sabia que era un spreader via facebook lo descarge y lo analyse y lo desempakete y el resultado era el worm de koobface (facebook) W32.Koobface mas detalles [ Debe registrarse para ver este enlace ]

el reto es obtener el exe finalmente desempacketado
tengan cuidado analyzando esto es un worm y puede infectar tu ordenador y si no saben que estan haciendo pues no lo hagan !!!!
le quite el header "MZ" a zeros para que los newbies no se infecten

password = infected
descarga >> [ Debe registrarse para ver este enlace ]

saludos y buen analysis
 #278094  por m4rtyr
 18 Mar 2011, 20:31
una ayudita el resultado no es un programa de VB
sabes que ese VB es un crypter extraiga el encryptado

saludos
 #278345  por m4rtyr
 19 Mar 2011, 23:22
sabes que los crypters usan WriteProcessMemory para escribir el ejecutable en la memoria del processo (el encryptado)
structura del api WriteProcessMemory(
__in HANDLE hProcess,
__in LPVOID lpBaseAddress,
__in LPCVOID lpBuffer, /////esto es lo que nos importa
__in SIZE_T nSize,
__out SIZE_T *lpNumberOfBytesWritten
);

si pones un HardWare Breakpint en WriteProcessMemory y despues puedes ver el lpBuffer que tiene el ejecutable , has un View Dump , y si tiene MZ en el primer valor eso significa que es un ejecutable copia desde MZ asta el final (bajo del import table ) creo que tenia 414141414 y lo pegas en un editor hexadecimal como EditpadPro y lo gravas como .exe

si no lo sabes hacer despues , pues espera el video tutorial que lo resuelta todo (unos dias y lo posto)
saludos
 #279758  por m4rtyr
 24 Mar 2011, 00:32
1- Decompremir la proteccion PECompact
el entrypoint en este PECompact es el mismo del real
asi que ponemos un HardWare Breakpoint en el entrypoint y luego lo ejecutamos


2- Extraer desde el encryptado en VB el Koobface
bueno para ser seguros hacemos SoftWare BreakPoints en los Api's
CreateProcessW WinExec ShellExecuteW y ResumeThread y WriteProcessMemory

lo ejecutamos asta que se pare en algunos de los api y luego buscamos
la cadena "MZ" (el header de un ejecutable)
CREATE_SUSPENDED // esto signifiqua que ResumeThread se ba a ejecutar despues

bamos a esperar el ResumeThread

ya que se paro en el api ResumeThread bamos a buscar el header del ejecutable "MZ"
el primer busca no es , bamos a probar otra busca

este ejecutable tiene UPX0 esto significa que esta comprimido con upx
bamos a extraerlo hacemos un binary copy y luego lo pegamos en un Editor Hexadecimal
ahora le quitamos la encriptacion de UPX con PEXPLORER

ya se acabo el tutorial yo se que no explique mucho pero si tienen algun duda
me preguntan

m4rtyr - indetectables.net
~exitos
no van a entender nada si no ven el video :P

descarga video tutorial >>[ Debe registrarse para ver este enlace ]
descarga video tutorial >>[ Debe registrarse para ver este enlace ]

saludos
 #280544  por linkgl
 26 Mar 2011, 05:34
No sabía que podía detenerme y mirar con detenimiento el API WriteProcessMemory, vaya así te puedes saltar cualquier crypter :O XD muy bueno m4rty
 #280569  por RoLyxRoLy
 26 Mar 2011, 08:59
m4rtyr sos un genio del cracking no quise infectarme por las dudas, por eso no lo probé y
además no iba a lograrlo porque lo que mostraste no era desconocido para mí.
Apenas pueda descargo los videos.
De nuevo muchas gracias por abrirnos la mente para depositar conocimientos