Автор: g-l-uk. Дата публикации: 19.07.2005
В данной статье я расскажу вам, что надо сделать для препятствия обнаружения пакера MEW11 v1.2SE.
Для этого нам понадобятся следующие инструменты:
PeiD v0.93 (http://www.peid.tk)
Hiew v6.11
Для начала немного теории. Из моих наблюдений мне стало ясно, что PeiD пытается определять MEW по именам секций, после их переименования PeiD пишет “Nothing found *” на всех уровнях сканирования. Однако если переименовать их файл отказывается запускаться. Но можно пойти и другим путём, в коде пакера можно поставить один переход без ущерба для нашего exe файла.
Давайте посмотрим на код нашего пакера, вот что мы видим:
Посмотрев на данный код, вы можете видеть что, начиная адреса 00438ABC и до 00438AC2 у нас идут одни нули, вот это мы и будем использовать.
Теперь возьмём Hiew и откроем наш файл, перейдя на точку входа F8 => F5, начнём редактировать нашу первую инструкцию по адресу 00438AB3.
Изменим её на JMP 00438ABC, таким образом, мы перепрыгнем на пустые байты.
Теперь на месте пустых байт напишем ту инструкцию, которая находилась у нас в самом начале, т.е. JMP 00400154, а оставшийся байт заNOP’им.
Жмём F9 и выходим из Hiew.
Сканируем подопытного кролика PeiD’ом и видим “Nothing found *”. Наша работа увенчалась успехом.
Обман PeiD или скрываем сигнатуру MEW11 v1.2SE
В данной статье я расскажу вам, что надо сделать для препятствия обнаружения пакера MEW11 v1.2SE.
Для этого нам понадобятся следующие инструменты:
PeiD v0.93 (http://www.peid.tk)
Hiew v6.11
Для начала немного теории. Из моих наблюдений мне стало ясно, что PeiD пытается определять MEW по именам секций, после их переименования PeiD пишет “Nothing found *” на всех уровнях сканирования. Однако если переименовать их файл отказывается запускаться. Но можно пойти и другим путём, в коде пакера можно поставить один переход без ущерба для нашего exe файла.
Давайте посмотрим на код нашего пакера, вот что мы видим:
Address: Opcode: Asm Instruction:
00438AB3 E9 9C 76 FC FF JMP 00400154
00438AB8 0C 80 OR AL, 80
00438ABA 02 00 ADD AL, [EAX]
00438ABC 00 00 ADD [EAX], AL
00438ABE 00 00 ADD [EAX], AL
00438AC0 00 00 ADD [EAX], AL
00438AC2 00 00 ADD [EAX], AL
00438AC4 8A 8A 03 00 0C 80 MOV CL, [EDX+800C0003]
00438ACA 02 00 ADD AL, [EAX]
Посмотрев на данный код, вы можете видеть что, начиная адреса 00438ABC и до 00438AC2 у нас идут одни нули, вот это мы и будем использовать.
Теперь возьмём Hiew и откроем наш файл, перейдя на точку входа F8 => F5, начнём редактировать нашу первую инструкцию по адресу 00438AB3.
Изменим её на JMP 00438ABC, таким образом, мы перепрыгнем на пустые байты.
Теперь на месте пустых байт напишем ту инструкцию, которая находилась у нас в самом начале, т.е. JMP 00400154, а оставшийся байт заNOP’им.
Жмём F9 и выходим из Hiew.
Сканируем подопытного кролика PeiD’ом и видим “Nothing found *”. Наша работа увенчалась успехом.
Комментарии |
| отсутствуют |
Добавление комментария |