Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5

Zdarzenie odwracania i analizy złośliwego oprogramowania.
#1

Zdarzenie analizy złośliwego oprogramowania     Dyskusja na temat: IRC UC-Forum   Kanał: złośliwe oprogramowanie (Może ulec zmianie w przypadku konfliktu z hostami IRC)     Cel: fałszywy antywirus (fałszywy AV)   Poziom trudności: łatwy   Link do pobierania: dostarczony na początku wydarzenia (nigdy publicznie dostępny).     Wymagania wstępne:   Maszyna wirtualna (sugerujemy VirtualBox, ale jest wiele innych)   Platforma Windows   Debugger jakiegokolwiek rodzaju (sugerujemy Ollydbg).   Podstawowe zrozumienie interfejsu użytkownika debuggera   Jakieś odniesienie do API systemu Windows (MSDN Library to doskonała strona)   Program Anylisis Tool-Kit (jeśli masz własny, w porządku, wkrótce dostarczę kopie do pobrania (wszystkie są darmowe))   Pragnienie uczenia się i eksperymentowania.   [Wymagane tylko w przypadku udziału w opracowywaniu poprawek]   Platforma SDK   Kompilator dla dowolnego języka, w którym czujesz się komfortowo   Biblioteki lub własne metody tworzenia haków \ objazdów   Reguły:   W dyskusji IRC nie ma żadnej nienawiści ani płomieni, obowiązują te same zasady, które mają zastosowanie w IRC.   Proszę, spróbuj pomóc sobie nawzajem. Jeśli ktoś jest nowicjuszem w dziedzinie inżynierii odwrotnej, nie dawaj im zimnego ramienia, gdy zadaje "głupie" pytanie. Zamiast tego pomóż im zrozumieć. To wszystko dla nauki.     Czas imprezy: 28 kwietnia, 4:00 (GMT) Może ulec zmianie na prośbę uczestników.     Dodatkowe uwagi: Uczestnicy mogą utworzyć poniższy wpis wraz z komentarzami dotyczącymi rejestracji na wydarzenie. Jeśli masz jakieś pytania, możesz skontaktować się ze mną przez PM. Nie odpowiem, jeśli są słabo napisane, i proszę zastosować prefiks [EVENTCOMMENT] lub [EVENTQUESTION] do PM, więc je przeczytam. Jeśli czas wydarzenia musi być dostosowany do Twoich potrzeb, skontaktuj się ze mną VIA pm z jednym z tych prefiksów dotyczących problemu i być może uda nam się coś wymyślić. W każdym razie, mam nadzieję, że wszyscy z niecierpliwością czekacie na to.     Zarejestrowani Użytkownicy :   AndrewThomas [Fix Development]   m0d hipp ¥ [Fix Development]
Reply
#2

W rzeczywistości mam kilka narzędzi, które monitorują wiele rzeczy, które robi proces. Nie opublikuję mojego zestawu narzędzi do debugowania i REing, ponieważ większość z nich jest wspólna dla kogokolwiek innego. Oto darmowe oprogramowanie dostarczone przez Microsoft i kilku innych dystrybutorów, mogą one być wystarczające i wszystkie narzędzia są całkowicie darmowe. Oto, co dostałem w zestawie do analizy: Spy-Studio - pozwala rejestrować połączenia API z jednego programu lub z całego systemu. Całkiem fajnie, możesz nawet przechwytywać i zmieniać ich parametry po wywołaniu. WinObj - Monitorowanie niektórych obiektów jądra i sterowników (Nie używaj tego tak często) protection_id - Jak sama nazwa wskazuje, identyfikuje każdą ochronę lub pakery używane w pliku wykonywalnym. Regmon - monitoruje wszystkie modyfikacje rejestru. procexp - Zaawansowana wersja menedżera zadań GMER - Może być użyty do zlokalizowania rootkitów, ukrytych sterowników, haków SSDT, zabijania usług itp. DebugView - Zobacz wszystkie wywołania OutputDebugString, przydatne, gdy cel używa tego. IceSword - Podobny do GMER, podoba mi się interfejs znacznie więcej. FileMon - Montiors odczyt, zapis, usuwanie i tworzenie plików, jak również procesy wykorzystują bibliotek. WinMerge - dobry do porównywania plików dziennika po zapisaniu haków.
Reply
#3

Impreza rozpocznie się 3 dni po ustalonym czasie z powodu braku uczestnictwa.
Reply
#4

Wysłałem PM do wszystkich członków, którzy byli zainteresowani z mojego oryginalnego wątku.
Reply
#5

Odpowiadam tu i teraz. Chciałbym wiedzieć dokładnie, kiedy nastąpi to wydarzenie. 3 dni, od kiedy zostały opublikowane, będą jutro pierwszego dnia. 4:00 GMT jest naprawdę 4:00 GMT bez dodania czasu letniego Biorę to? Ja będąc w Europie Środkowej: GMT 2 (dodano czas letni). Czyniłoby to 06:00 CET (czas środkowoeuropejski). Podsumowując, dla mnie i dla każdej innej centralnej Europy: 06:00 1 maja. Czy ta liczba jest poprawna? EDYCJA: Nie będę mógł uczestniczyć w tym czasie. Ponieważ minęły trzy godziny i nadal muszę trochę spać ... Prawdopodobnie będę tak długo, jak tylko się obudzę.
Reply
#6

Spowoduje to opóźnienie, dopóki nie uda nam się zorganizować dobrej zabawy z wystarczającą liczbą użytkowników.
Reply
#7

Mój nowy laptop faktycznie został zainfekowany przez backdoora i robaka innego dnia, zrobiłem kilka inżynierii wstecznej na plikach i odkryłem następujące. 1. Próbowałem wyłączyć oprogramowanie antywirusowe, znalazłem ogromną listę plików związanych z AV, których funkcja w obrębie złośliwego oprogramowania została sprawdzona w celu ich usunięcia. 2. Próbował przejść przez zaporę ogniową, dodając się do polityki bezpieczeństwa firewalla. 3. Skopiował się do folderów system32 i windows. 4. Próbowałem ciągle tworzyć plik autorun.inf na moim dysku flash, który uruchamiałby robaka ... aby zainfekować komputery, do których został podłączony mój dysk. 5. Próbowałem połączyć się z serwerem IRC, znalazłem również całą masę wbudowanych komend zdalnych. 6. Dodano się do rejestru, aby spróbować uruchomić z systemem Windows. Metody, których używałem do usunięcia - 1. Znaleziono listę plików, które tworzy, szukając ciągów w dezasemblerach, a następnie szukając tych plików. 2. Znaleziono również listę kluczy rejestru, które utworzył i usunął je. 3. Zrobione wszystkie powyższe elementy w trybie awaryjnym Windows, więc usługi robaka nie zostały uruchomione, więc nie mogli się bronić.
Reply
#8

miła robota!
Reply
#9

Jeśli potrzebujesz więcej osób do projektu, chciałbym mieć w nim udział, jestem dość doświadczony z tego rodzaju rzeczami
Reply
#10

tak, im więcej tym lepiej. Dodam cię do listy
Reply




Users browsing this thread: 1 Guest(s)