Jump to content

Recommended Posts

Boa Noite 

Mercês, na aula 3 do curso usamos o api monitor e depois voce mostoru como parar a cifra do binario que é um ransomware para que o mesmo seja analisado. Fiz alguns execícios utilizando outros binários e cheguei no Petya. Como já é de conheicmento o comportamento dele é desligar a maquina e depois realizar a cifra no boot com uma tela semelhante de um check disk. Eu consegui fazer com que ele não fizesesse esse shutdown, porém não sei se foi da maneia correta.

Basicamente eu executava o binario e dpeois matava o o processo dele, iniciando ele pelo API monitor. Ele carregava a primeira Threads e eu analisei as funções que apareceu e depois segui os passos da aula 3 do curso.

Se puder mostrar a forma correta de analisar esse caso ou otro semelhante seria interessante.

Valeu.

Link to post
Share on other sites

Oi Halison!

Olha, não acho que exista uma "forma correta", viu... Se você patcheou ou mesmo impediu "por fora do malware", ou seja, pelo sistema que a ecriptação ocorresse, em minha opinião já foi. Tá feito. Em vários casos nem é necessário impedir a encriptação, ou esta é feita a cada execução, tanto faz. Na aula 3 do AMO pus em prática a ideia de patchear a função que encripta, mas tem certamente muitas outras maneiras e acho que a certa é a que funciona. ?

Como no seu caso funcionou, parabéns! Em minha experiência, análise de malware não é um conjunto de técnicas, é uma aplicação de vários conhecimentos que quase sempre resulta em diferentes soluções para diferentes problemas mesmo.

Abraço!

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...