Mostrar mensajes previos
Ordenar por
por m4rtyr Se conecta desde un manicomio
estava en el facebook y un amigo mio tenia un post con un enlace a exe , sabia que era un spreader via facebook lo descarge y lo analyse y lo desempakete y el resultado era el worm de koobface (facebook) W32.Koobface mas detalles [Enlace externo eliminado para invitados]

el reto es obtener el exe finalmente desempacketado
tengan cuidado analyzando esto es un worm y puede infectar tu ordenador y si no saben que estan haciendo pues no lo hagan !!!!
le quite el header "MZ" a zeros para que los newbies no se infecten

password = infected
descarga >> [Enlace externo eliminado para invitados]

saludos y buen analysis

Mostrar/Ocultar

por m4rtyr Se conecta desde un manicomio
sabes que los crypters usan WriteProcessMemory para escribir el ejecutable en la memoria del processo (el encryptado)
structura del api WriteProcessMemory(
__in HANDLE hProcess,
__in LPVOID lpBaseAddress,
__in LPCVOID lpBuffer, /////esto es lo que nos importa
__in SIZE_T nSize,
__out SIZE_T *lpNumberOfBytesWritten
);

si pones un HardWare Breakpint en WriteProcessMemory y despues puedes ver el lpBuffer que tiene el ejecutable , has un View Dump , y si tiene MZ en el primer valor eso significa que es un ejecutable copia desde MZ asta el final (bajo del import table ) creo que tenia 414141414 y lo pegas en un editor hexadecimal como EditpadPro y lo gravas como .exe

si no lo sabes hacer despues , pues espera el video tutorial que lo resuelta todo (unos dias y lo posto)
saludos

Mostrar/Ocultar

por m4rtyr Se conecta desde un manicomio
1- Decompremir la proteccion PECompact
el entrypoint en este PECompact es el mismo del real
asi que ponemos un HardWare Breakpoint en el entrypoint y luego lo ejecutamos


2- Extraer desde el encryptado en VB el Koobface
bueno para ser seguros hacemos SoftWare BreakPoints en los Api's
CreateProcessW WinExec ShellExecuteW y ResumeThread y WriteProcessMemory

lo ejecutamos asta que se pare en algunos de los api y luego buscamos
la cadena "MZ" (el header de un ejecutable)
CREATE_SUSPENDED // esto signifiqua que ResumeThread se ba a ejecutar despues

bamos a esperar el ResumeThread

ya que se paro en el api ResumeThread bamos a buscar el header del ejecutable "MZ"
el primer busca no es , bamos a probar otra busca

este ejecutable tiene UPX0 esto significa que esta comprimido con upx
bamos a extraerlo hacemos un binary copy y luego lo pegamos en un Editor Hexadecimal
ahora le quitamos la encriptacion de UPX con PEXPLORER

ya se acabo el tutorial yo se que no explique mucho pero si tienen algun duda
me preguntan

m4rtyr - indetectables.net
~exitos
no van a entender nada si no ven el video :P

descarga video tutorial >>[Enlace externo eliminado para invitados]
descarga video tutorial >>[Enlace externo eliminado para invitados]

saludos

Mostrar/Ocultar

por linkgl Usa camisa de fuerza
No sabía que podía detenerme y mirar con detenimiento el API WriteProcessMemory, vaya así te puedes saltar cualquier crypter :O XD muy bueno m4rty
//mHmm..
por RoLyxRoLy Usa camisa de fuerza
m4rtyr sos un genio del cracking no quise infectarme por las dudas, por eso no lo probé y
además no iba a lograrlo porque lo que mostraste no era desconocido para mí.
Apenas pueda descargo los videos.
De nuevo muchas gracias por abrirnos la mente para depositar conocimientos
Imagen

Mostrar/Ocultar

Temas similares
Can someone analyze a PDF? por N0body en Análisis de Malware
Hack the box [RETO] por crack81 en General
Reto de hacking. por Usuario borrado 123064 en Auditoria Web
Links sobre el tema
Variantes de tema
Responder

Volver a “Cracking/Reversing”