Conficker Anti-IDA packer

0

Sto cercando informazioni sul packer utilizzato per impacchettare il famigerato virus Conficker. Purtroppo non sono riuscito a trovare nulla sul packer su Internet. Questo packer sembra aver usato una tecnica anti-analisi che ha incasinato l'algoritmo di grafica di IDA, mi è stato detto che è un sito piuttosto divertente. Sarei grato se qualcuno che ha accesso al pacchetto completo fosse in grado di inviarmi una copia. Anche una spiegazione di come funziona sarebbe accettata con gratitudine.

Grazie mille per ogni risposta, questo è il mio primo post su questo forum e mi è piaciuto molto quello che ho visto finora.

    
posta Jonathan 19.08.2016 - 09:32
fonte

1 risposta

2

Temo che ti sarà difficile trovare qualcuno che pubblichi direttamente un link a un binario funzionale di codice dannoso qui.

Il blog di Fortinet ha una buona spiegazione su come decomprimere qualsiasi versione di conficker che hai. Fortinet: decompressione di conficker

Questa tecnica, con alcune modifiche, funzionerà bene per la maggior parte dei packer personalizzati a stadio singolo:

  1. Esegui il binario sotto un debugger su una macchina isolata
  2. Imposta i punti di interruzione sui rami anti-debug
  3. Modifica i registri in modo che il codice venga eseguito come se fosse inosservato
  4. Lascia che il binario si decomprimi e dump la memoria
  5. Ricostruisci un eseguibile dallo shellcode de-offuscato
risposta data 19.08.2016 - 15:45
fonte

Leggi altre domande sui tag