[MASM] Extracteur de dll pour Backdoor.Win32.Papras
|
24-04-2013, 13h42
Message : #1
|
|
Horgh
Membre actif Messages : 197 Sujets : 4 Points: 91 Inscription : Mar 2012 |
[MASM] Extracteur de dll pour Backdoor.Win32.Papras
Blablabla post techniques etc.
Ma contribution, n'hésitez pas à m'indiquer des corrections si vous en trouvez, j'ai codé ça assez salement :') Si vous voulez des infos sur comment ça marche, ce que ça fait, lisez le readme. Si vous voulez voir le code, c'est plus bas. Le readme : Code : README Je conseille fortement de le lire si vous voulez utiliser le programme correctement, c'est assez chiant d'avoir un bon dump. J'ai aussi inclus dedans une explication rapide du fonctionnement de papras au niveau de l'extraction / décompression des dlls. Si vous voulez des samples pour tester, pingez moi sur irc ; si vous voulez faire du bug report / suggestions, Horgh[at]lavabit[dot]com. Le code now : Code : ; ------------------------------------------------------------------------------------------------------------------------- Et si vous voulez le package, c'est par ici |
|
24-04-2013, 16h04
Message : #2
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
Malgré mon anglais médiocre j'ai essayé de comprendre ton read-me ^^.
J'ai donc compris que ton programme fait un dump sous forme de .dll du malz, mais j'ai pas trop compris à quoi cela va nous servir au final? C'est pour faire une analyse statique du bordel? VA to dll structure : (ImageBase + (NumberOfSections * 28h)) + SizeOfOptionalHeader + 40 C'est à partir d'ici que tu extrais le bordel, mais en fait j'ai surtout pas compris ce que ça va récupérer :')
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
24-04-2013, 17h44
Message : #3
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
@ReVeRse: uep, le payload est contenu dans la DLL (un peu le même principe que smoke loader), et c'est pour pouvoir l'analyser qu'on extrait la DLL
Sinon, le truc à "(ImageBase + (NumberOfSections * 28h)) + SizeOfOptionalHeader + 40" récupère une structure qui donne l'offset de la DLL compressée dans le fichier binaire (ce qui explique pourquoi faut pas tripoter le bin :þ)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
24-04-2013, 17h48
Message : #4
|
|
Horgh
Membre actif Messages : 197 Sujets : 4 Points: 91 Inscription : Mar 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
bah du coup merci supersnail, j'avais commencé à rédiger une réponse mais je me suis rendu compte que t'avais déjà répondu :')
|
|
24-04-2013, 19h38
Message : #5
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
"Sinon, le truc à "(ImageBase + (NumberOfSections * 28h)) + SizeOfOptionalHeader + 40" récupère une structure qui donne l'offset de la DLL compressée dans le fichier binaire (ce qui explique pourquoi faut pas tripoter le bin :þ) "
Tu veux dire que le bordel s’exécute si on tripote directement le bin et que c'est pour ça qu'on extrait le payload?
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
24-04-2013, 19h51
Message : #6
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
Wat ?
Je veux juste dire que si tu touches à l'alignement du binaire (ie les octets nuls à la fin de chaque section), l'offset dans le fichier sur lequel se base le malware pour récupérer la dll compressée ne sera plus bon
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
24-04-2013, 21h11
Message : #7
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
Ah, mais alors le DLL n'est pas le malware, du coup le DLL il va servir à quoi et le fait de l'extraire va nous servir à quoi? C'est un truc pour rootkit ou une chose du genre?
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
24-04-2013, 21h59
Message : #8
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
Euh si, la dll c'est le malware...
Le loader (le .exe qu'a analysé Horgh) est juste là pour retrouver la dll compressée dans le bin, la décompresser et ensuite la lancer Et le tool de Horgh extrait la dll de ce loader, qui contient le code malveillant en lui-même, sauf que ce tool ne fonctionne pas si tu bidouilles le .exe dont il faut extraire la dll. Bref j'espère que je suis clair sinon je pars me pendre :')
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
24-04-2013, 22h31
Message : #9
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
AAAAAH, ouai c'est bon :')
Tout est bien plus clair là xD Donc oui c'est pour vraiment avoir le dump du malz en lui même , en gros Horgh a fait le boulot de choper comment le 'loader' chope le malz en gros le dll là, et il a foutu ça en un extracteur pour avoir le malz seul en un "dump" C'est plus concret comme ça x) Sympa comme truc en tout cas, j'analyserais le code ASM demain pour voir un peu plus comment ça marche, vu que y'a pas mal de commentaire je comprendrais je pense :p
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
25-04-2013, 00h40
Message : #10
|
|
Horgh
Membre actif Messages : 197 Sujets : 4 Points: 91 Inscription : Mar 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
Citation :Donc oui c'est pour vraiment avoir le dump du malz en lui même , en gros Horgh a fait le boulot de choper comment le 'loader' chope le malz en gros le dll là, et il a foutu ça en un extracteur pour avoir le malz seul en un "dump" C'est plus confus ouais :') Il faut voir la chose ainsi : au départ on a le dropper packed. Mon programme ne marche que sur les dumps de ce dropper, et les dumps non fucked up histoire que les dlls soient extraites correctement. Ce dropper contient donc deux dlls qui constituent le payload final du malware, une pour archi 32 bits et une pour 64 bits. J'ai codé ce programme pour : - Pouvoir récupérer les deux dlls et non juste celle droppée sur le disque. - Ne pas me casser le cul à tracer jusqu'au moment ou la dll est droppée mais pas exécutée (même si elle est easy à virer par la suite :') ) |
|
25-04-2013, 13h41
(Modification du message : 25-04-2013, 13h41 par Kiwazaru.)
Message : #11
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [MASM] Extracteur de dll pour Backdoor.Win32.Papras
Donc là tu unpack le bordel avec du coup? (J'vais vous faire chier à force à rien comprendre :') )
PS: J'ai regardé le code et en fait non tu unpack rien :p Bref j'ai compris le principe
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[MASM]Win32.Downloader | EpicOut | 5 | 339 |
02-11-2013, 17h10 Dernier message: sakiir |
|
[C] Extracteur de panel iStealer | supersnail | 24 | 1,228 |
24-10-2013, 13h33 Dernier message: sakiir |
|
[C] Une idée de projet pour recommencer? | Klepto | 31 | 1,899 |
13-07-2013, 19h54 Dernier message: Trivial |
|
[C + Gui] recherche d'une fonction pour listbox api | Shark972 | 2 | 216 |
30-03-2013, 15h04 Dernier message: Shark972 |
|
[C] [Win32] Injection de DLL dans un process avant son initialisation | supersnail | 4 | 399 |
26-03-2013, 23h27 Dernier message: fr0g |
|
[C] Besoin d'aide pour débugger mon code | Polo | 4 | 373 |
22-03-2013, 01h08 Dernier message: Polo |
|
[C] Need help pour free en recursif... | ark | 3 | 243 |
27-11-2011, 00h57 Dernier message: walafc0 |
Utilisateur(s) parcourant ce sujet : 5 visiteur(s)