Malware Analysis
Tools and techniques for malware analysis.
36 topics in this forum
-
Bom dia pessoal, tudo bem? Sou iniciante e decidi tentar realizar a engenharia reversa de alguns malwares, o primeiro foi um pouco mais antigo para ganhar confiança e este é o segundo que estou fazendo. Se trata de um log stealer feito em.NET e pelo que vi até o momento o fluxo é: .NET (packed e obfuscated) vai colocar no AppData\Roaming uma DLL chamada d3d9.dll, modificar seus atributos para ficar oculta e carregar ela. Essa DLL vai criar um processo em estado suspenso utilizando, o executável do MSBuild.exe e injetar nele um novo executável e após isso fazer o Thread Hijacking. Este terceiro executável por sua vez vai descriptografar e descomprimir u…
-
- 2 replies
- 1.4k views
-
-
Esse curso foi gravado no segundo semestre de 2013 e foi vendido por alguns anos. Agora, em 2018, está sendo disponibilizado de forma gratuita para todos que tenham interesse em fazer download do material e estudar por conta própria. MATERIAL INICIAL: apostila, máquina virtual e arquivos dos Labs. DOWNLOAD DAS AULAS: vídeos, slides e materiais extras das aulas. APÓS O CURSO: mensagem final para continuidade dos estudos. Como o curso foi descontinuado e está sendo disponibilizado de forma gratuita, não há fornecimento de certificado de conclusão ou suporte. Caso encontre algum erro relevante nas aulas peço a gentileza de me comunicar para que o conhecimento não…
-
-
- 6 replies
- 10.6k views
- 1 follower
-
-
-
Foi criado Msi Dump https://github.com/mgeeky/msidump, do site https://binary-offensive.com/. É mais uma ferramenta de apoio à análise de arquivos .msi, que além da extração dos artefatos do arquivo, permite a execução de regras Yara. Há diversas ferramentas para analisar este tipo de arquivo, e algumas se aplicam melhor dependendo da forma como o .msi foi gerado. Só falta testar, quando sobrar um tempinho.
-
- 0 replies
- 822 views
-
-
Saudações! Existe algum repositorio onde eu posso baixar malwares para analise?
-
- 1 reply
- 679 views
-
-
Faala galera, bão? Passando aqui pra puxar assunto com vocês a respeito de conteúdos relacionados a análise de malwares Android que implementam Runtime Application Self Protection (RASP) em seus bundles, e também pra ver se alguém tem algum conteúdo interessante para compartilhar sobre o tema. Eu não sou profissional de Engenharia Reversa, embora entenda só um pouquinho do assunto, mas estes dias apareceu um teste de um cliente que envolvia hookar funções críticas de um aplicativo buildado com o DexGuard (uma solução que implementa ofuscação de código, Control Flow Flattening, etc.) e aí na busca pra entender melhor os mecanismos de proteção que o app implementa…
-
- 0 replies
- 853 views
-
-
Pessoal Bom dia! Ouvindo um vídeo do Fernando Mercês no canal do youtube falando MUITO BEM da Vovó vick, sobre seu trabalho na Linguagem Assembly, (disponível apenas no Archive.org), em formato html porem em diversas partes. Resolvi reuní tudo em um archivo .pdf. Apesar de ainda ter faltado algumas paginas, mas é sobre o compilador MASM. Mas o grosso sobre assembly foi resgatado na apostila. Espero ter ajudado! 809431184_cursoassembly.pdf
-
- 0 replies
- 3.8k views
-
-
Pessoal bom dia! Estou retornando meus estudos na área de engenharia reversa e gostaria de indicação de debuguer's tão bons quanto o olly. Tanto para 32/64. Alguém poderia indicar? Agradeço!
-
- 1 reply
- 2.3k views
-
-
Boa Tarde Pessoal! Como a ideia aqui é compartilhar conhecimento e aprendizado, segue uma playlist, que meu deu muita noção dessa linguagem tão essencial para engenharia reversa e análise de Malwere. Espero ter ajudo aos iniciantes como eu. https://www.youtube.com/channel/UCcmnIdclLYpYm6i6zRDyG6g
-
- 0 replies
- 1.1k views
-
-
Galera, fui baixar a Phrack 64 e eis que o Firefox acusou que o arquivo tem malware dentro... Confiram vocês mesmos: http://phrack.org/archives/tgz/phrack64.tar.gz A questão é: será que é malware mesmo ou será que é só um falso positivo? Mas, falso positivo com arquivos que, teoricamente, deveriam ser somente txt? Hehehehehehehehe. Abraços!
-
- 5 replies
- 2.3k views
-
-
Entao, tentei fazer o exercicio que o Fernando deixou pra gente na aula 0 do AMO. Acabou que eu nao cheguei exatamente em um resultado, mas eu acho que cheguei perto. Entao aqui vai minha 'nao-solucao' (O sistema que eu uso eh Manjaro Linux, soh por via das duvidas): A primeira coisa que eu fiz, foi voltar pra VM e abrir o arquivo com o pestudio mais uma vez, soh pra dar mais uma olhada na tabela de strings que o pestudio formou. Nela eu achei algumas coisas interessantes: Uma sequencia de caracteres que representa os caracteres da base64 (A-Z, a-z, 0-9, + e /) e duas "stringonas". Uma delas eh aquela que ele mostrou no video, de tamando 1128, e outra de tamanho 368. A…
-
- 2 replies
- 2.3k views
-
-
Oi. Esse dias eu ouvi falar do banker trojan que vai pelo nome de IcedId. Saiu bastante noticias sobre ele na epoca e entao eu peguei uma sample e fui tentar brincar com ela. O malware aparentemente tem 2 stages de unpacking, o primeiro, depois de muito google-fu e leitura, eu consegui passar. Agora o segundo eu to com mais dificuldades. O primeiro estagio do unpacking me devolveu um arquivo PE, entao eu abri ele no PE estudio e um indicators diz o seguinte: 1525,The file contains another file,type: unknown, location: overlay, offset: 0x00019C00,1 Depois, eu fui dar uma olhada nesse offset dentro do arquivo, e nao achei nada, nao soh isso, mas o …
-
- 0 replies
- 2.2k views
-
-
Hoje eu tava lendo um blogpost da Sophos, LockBit ransomware borrows tricks to keep up with REvil and Maze, quando esse trecho me chamou a atenção: Pelo que entendi os autores basicamente implementaram o que a IsDebuggerPresent() já faz. Dá pra ver o código dela por qualquer disassembler. No caso usei a linha de comando do x64dbg (pode carregar qualquer binário, mesmo que ele não importe a IsDebuggerPresent): d IsDebuggerPresent Vai cair em algo como: 7524A480 | FF25 680E2B75 | jmp dword ptr ds:[<&IsDebuggerPresent>] | Aí é só dar [ENTER] que o x64dbg segue o salto e mostra o dissasembly da IsDebuggerPresent: 769A4940 | 64:A1 30…
-
- 0 replies
- 1.9k views
-
-
Boa Noite Mercês, na aula 3 do curso usamos o api monitor e depois voce mostoru como parar a cifra do binario que é um ransomware para que o mesmo seja analisado. Fiz alguns execícios utilizando outros binários e cheguei no Petya. Como já é de conheicmento o comportamento dele é desligar a maquina e depois realizar a cifra no boot com uma tela semelhante de um check disk. Eu consegui fazer com que ele não fizesesse esse shutdown, porém não sei se foi da maneia correta. Basicamente eu executava o binario e dpeois matava o o processo dele, iniciando ele pelo API monitor. Ele carregava a primeira Threads e eu analisei as funções que apareceu e depois segui os pass…
-
- 2 replies
- 1.5k views
-
-
Bom dia, Estou verificando um binário no API monitor, estou add os módulos com suas respectivas DLL's(como o Mercês fez na última aula do AMO), porém chego a um ponto que o binário faz o import de algumas DLL's que não estão na lista do API monitor. É possível seguir com a análise sem essas dll's no API monitor?
-
- 0 replies
- 1.2k views
-