3 Antworten in diesem Thema

[Passport]

 

Beispielswiese ich bekomme ne exe ( rat ) , und würde gern wissen was da drin is, bzw welcher Server die exe benutzt o.ä - wie kann ich mir diese Exe zerlegen?

 

Res Hacker bringt leider nicht die nötigen Informationen...

 

Auch andere Details sind betreffend der exe verwertend.

[gr33d]

Erst mal checken ob die Datei gepackt ist mit winrar und ob es ein SFX-Archiv ist.

Falls ja erst mal entpacken.

Dann würde ich die Dateien einfach scannen auf virustotal etc. und die Namen der detections anschauen.

Wenn der Server gecrypted ist, geht das ganze nicht mehr so einfach. Da musst du entweder die Datei entschlüsseln (relativ anspruchsvoll, kommt aber auf den Crypter an) oder dir anschauen was du im Ram findest oder beim Netzwerk traffic mit Wireshark (Theoretisch könntest du auch die RAM-Nutzung abgleichen mit deinen Rats - Die bekannten müsste man so bestimmt grob und ungefähr erkennen können). Eine einfache Alternative wäre Hybrid-Analysis.com weil die bekannte RATs automatisch erkennen (war bei mir zumindest der Fall).

[rat123]

Du könntest die Routine von gr33d nehmen für einen üblichen Check, manche AV Engines geben trotzdem false-positives raus.

Falls die Anwendung verschlüsselt sein sollte ist das eigentlich auch kein Problem die entschlüsselte Variante zu erhalten. Ein wenig RE Skills sind aber notwendig.

Meistens sind größere Teile einer verschlüsselten Software während der Laufzeit, nachdem der Crypter die eigentliche EP ausgeführt hat, wieder entschlüsselt. Memory Dumps während der Laufzeit wären eine Lösung .. aber das ist noch lange nicht alles .. esse gerade Thai-Nudeln mit Süß-Sauer Soße vom Chinesen nebenan .. keine lust mehr zu schreiben

[Born2Hack]

Hier eine Tutorial wie du an FTP/HTTP Daten einer Malware (Stealer) ran kommst.



 

 

Dann findest du noch hier eine Anleitung wie man .NET Stuff cracken bzw den Source anschauen kann:

 

 

Und noch eine Video zu OllyDbg