As tu fait un seul réglage de Olly ? Ou t'en es tu servis jusqu'a maintenant sans régler le debugger ? Car Olly a des options pour forcer le stop à l'entry point Sans cette option, par moment il ne s'arrête pas et continue d'executer du code, des fois trop..
Je ne me souviens plus. Ça fait déjà très longtemps que je m'en sers. J'ai dû régler quelque chose au tout début, mais plus après. C'est pourquoi je suis étonné qu'il ait soudain changé de comportement.
3. je sais que Kenston est un candidat pour mon petit projet car il est crypté avec un simple xor. Et ça me fera une revanche. :-)
b) un moyen de ne pas en mettre partout lors de l'analyse ;-)
Utilises la version gratuite d'IDA. Si tu analyses juste la boucle de décryptage, tu as besoin de rien d'autre.
La 3.7 ne veut pas, problème de "btree" au début (même avec un simple PE tout bête). Je vais me procurer la 4.1 gratuite qui pèse hélas 11 Mo. Mais bon, c'est pour une bonne cause.
D'ailleur à l'aide d'un script IDC (voir l'article d'analyse du ver que j'ai écris, je présente un script pour decrypter les données) tu peux décrypter le code, et donc analyser tout ca en statique.
Je verrai, merci.
As tu fait un seul réglage de Olly ?
Ou t'en es tu servis jusqu'a maintenant sans régler le debugger ?
Car Olly a des options pour forcer le stop à l'entry point
Sans cette option, par moment il ne s'arrête pas et continue d'executer
du code, des fois trop..
Je ne me souviens plus. Ça fait déjà très longtemps que je m'en sers.
J'ai dû régler quelque chose au tout début, mais plus après. C'est
pourquoi je suis étonné qu'il ait soudain changé de comportement.
3. je sais que Kenston est un candidat pour mon petit projet car il est
crypté avec un simple xor. Et ça me fera une revanche. :-)
b) un moyen de ne pas en mettre partout lors de l'analyse ;-)
Utilises la version gratuite d'IDA. Si tu analyses juste la boucle de
décryptage, tu as besoin de rien d'autre.
La 3.7 ne veut pas, problème de "btree" au début (même avec un simple PE
tout bête). Je vais me procurer la 4.1 gratuite qui pèse hélas 11 Mo.
Mais bon, c'est pour une bonne cause.
D'ailleur à l'aide d'un script IDC (voir l'article d'analyse du ver que
j'ai écris, je présente un script pour decrypter les données) tu peux
décrypter le code, et donc analyser tout ca en statique.
As tu fait un seul réglage de Olly ? Ou t'en es tu servis jusqu'a maintenant sans régler le debugger ? Car Olly a des options pour forcer le stop à l'entry point Sans cette option, par moment il ne s'arrête pas et continue d'executer du code, des fois trop..
Je ne me souviens plus. Ça fait déjà très longtemps que je m'en sers. J'ai dû régler quelque chose au tout début, mais plus après. C'est pourquoi je suis étonné qu'il ait soudain changé de comportement.
3. je sais que Kenston est un candidat pour mon petit projet car il est crypté avec un simple xor. Et ça me fera une revanche. :-)
b) un moyen de ne pas en mettre partout lors de l'analyse ;-)
Utilises la version gratuite d'IDA. Si tu analyses juste la boucle de décryptage, tu as besoin de rien d'autre.
La 3.7 ne veut pas, problème de "btree" au début (même avec un simple PE tout bête). Je vais me procurer la 4.1 gratuite qui pèse hélas 11 Mo. Mais bon, c'est pour une bonne cause.
D'ailleur à l'aide d'un script IDC (voir l'article d'analyse du ver que j'ai écris, je présente un script pour decrypter les données) tu peux décrypter le code, et donc analyser tout ca en statique.
Je verrai, merci.
Frederic Bonroy
As tu recu le sample que je t'ai envoyé ?
Maintenant oui, mais il ne veut pas s'exécuter sous Windows 98 (que je fais tourner dans Vmware). Je télécharge IDA là. Sinon pour Kenston, j'ai vérifie que l'échantillon était fonctionnel, puis j'ai vu que la boucle de décryptage est en fait toute bête:
Apparemment il n'y a que la clé qui change ainsi que l'adresse bien sûr. (D'ailleurs le cmp ecx,0 me paraît bien superflu...)
As tu recu le sample que je t'ai envoyé ?
Maintenant oui, mais il ne veut pas s'exécuter sous Windows 98 (que je
fais tourner dans Vmware). Je télécharge IDA là. Sinon pour Kenston,
j'ai vérifie que l'échantillon était fonctionnel, puis j'ai vu que la
boucle de décryptage est en fait toute bête:
Maintenant oui, mais il ne veut pas s'exécuter sous Windows 98 (que je fais tourner dans Vmware). Je télécharge IDA là. Sinon pour Kenston, j'ai vérifie que l'échantillon était fonctionnel, puis j'ai vu que la boucle de décryptage est en fait toute bête:
On Tue, 03 Feb 2004 17:05:08 +0100, Yannick Patois wrote:
Heuu, à vrais dire j'en ai déjà bien stocké 2000 à l'heure qu'il est Des "B" ?
Heu, j'en sais rien, moi...
Ca se voit à quoi qu'il est B ? Que dit ton anti-virus (ou un "en ligne" si tu n'en as pas) ?
Je n'en ai pas... Je peux envoyer le courriel à un détecteur extérier, c'est ça ? Mias 2000, ca fait un peu beaucoup, non.
Sinon, j'ai lu dans un autre post les différences. J'ai un truc qui pourrait correspondre (un bounce, d'ailleurs):
Sujet: PHLIES Contenu: test Attachement: file.zip
file.zip fait 6669 octets.
je n'arrive pas à le dézipper avec unzip (meme si file me dit que c'est bien un zip).
C'est le seul qui me semble pouvoir correspondre sur les 500 que j'ai regardé.
Yannick
Nicolas Brulez
As tu recu le sample que je t'ai envoyé ?
Maintenant oui, mais il ne veut pas s'exécuter sous Windows 98 (que je fais tourner dans Vmware). Je télécharge IDA là. Sinon pour Kenston, j'ai vérifie que l'échantillon était fonctionnel, puis j'ai vu que la boucle de décryptage est en fait toute bête:
Apparemment il n'y a que la clé qui change ainsi que l'adresse bien sûr. (D'ailleurs le cmp ecx,0 me paraît bien superflu...) Oui Le cmp ecx,0 ne sert à rien ici.
Ya plus qu'a émuler ça :)) Ton émulateur tu vas le faire scriptable ? C'est à dire que tu veux pouvoir le commander ? Genre tu lui dis d'émuler à partir de l'entry point, et tu lui dis combien de temps il faut émuler, ou nombre d'instructions à emuler ou etc?
Car tu ne veux pas émuler tout le virus je suppose :)
A+
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
As tu recu le sample que je t'ai envoyé ?
Maintenant oui, mais il ne veut pas s'exécuter sous Windows 98 (que je
fais tourner dans Vmware). Je télécharge IDA là. Sinon pour Kenston,
j'ai vérifie que l'échantillon était fonctionnel, puis j'ai vu que la
boucle de décryptage est en fait toute bête:
Apparemment il n'y a que la clé qui change ainsi que l'adresse bien sûr.
(D'ailleurs le cmp ecx,0 me paraît bien superflu...)
Oui Le cmp ecx,0 ne sert à rien ici.
Ya plus qu'a émuler ça :))
Ton émulateur tu vas le faire scriptable ?
C'est à dire que tu veux pouvoir le commander ?
Genre tu lui dis d'émuler à partir de l'entry point, et tu lui dis
combien de temps il faut émuler, ou nombre d'instructions à emuler ou etc?
Car tu ne veux pas émuler tout le virus je suppose :)
A+
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Maintenant oui, mais il ne veut pas s'exécuter sous Windows 98 (que je fais tourner dans Vmware). Je télécharge IDA là. Sinon pour Kenston, j'ai vérifie que l'échantillon était fonctionnel, puis j'ai vu que la boucle de décryptage est en fait toute bête:
Apparemment il n'y a que la clé qui change ainsi que l'adresse bien sûr. (D'ailleurs le cmp ecx,0 me paraît bien superflu...) Oui Le cmp ecx,0 ne sert à rien ici.
Ya plus qu'a émuler ça :)) Ton émulateur tu vas le faire scriptable ? C'est à dire que tu veux pouvoir le commander ? Genre tu lui dis d'émuler à partir de l'entry point, et tu lui dis combien de temps il faut émuler, ou nombre d'instructions à emuler ou etc?
Car tu ne veux pas émuler tout le virus je suppose :)
A+
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Nicolas Brulez
Je ne me souviens plus. Ça fait déjà très longtemps que je m'en sers. J'ai dû régler quelque chose au tout début, mais plus après. C'est pourquoi je suis étonné qu'il ait soudain changé de comportement.
Oui mais comme je te disais, sans reglages particuliers, ils marchent bien, mais par moment sur certains exécutables, c'est possible qu'il ne block pas sans une option particulière.
Regardes dans : Options=>Debugging Options=>Events. Que vois tu à "Make First pause at" ?
La 3.7 ne veut pas, problème de "btree" au début (même avec un simple PE tout bête). Je vais me procurer la 4.1 gratuite qui pèse hélas 11 Mo. Mais bon, c'est pour une bonne cause. Modem RTC? :)
Je verrai, merci. C'est la qu'on voit la puissance d'IDA!
Si tu as des problèmes avec le script IDC, je peux t'aider sans soucis.
Amicalement,
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Je ne me souviens plus. Ça fait déjà très longtemps que je m'en sers.
J'ai dû régler quelque chose au tout début, mais plus après. C'est
pourquoi je suis étonné qu'il ait soudain changé de comportement.
Oui mais comme je te disais, sans reglages particuliers, ils marchent
bien, mais par moment sur certains exécutables, c'est possible qu'il ne
block pas sans une option particulière.
Regardes dans :
Options=>Debugging Options=>Events.
Que vois tu à "Make First pause at" ?
La 3.7 ne veut pas, problème de "btree" au début (même avec un simple PE
tout bête). Je vais me procurer la 4.1 gratuite qui pèse hélas 11 Mo.
Mais bon, c'est pour une bonne cause.
Modem RTC? :)
Je verrai, merci.
C'est la qu'on voit la puissance d'IDA!
Si tu as des problèmes avec le script IDC, je peux t'aider sans soucis.
Amicalement,
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Je ne me souviens plus. Ça fait déjà très longtemps que je m'en sers. J'ai dû régler quelque chose au tout début, mais plus après. C'est pourquoi je suis étonné qu'il ait soudain changé de comportement.
Oui mais comme je te disais, sans reglages particuliers, ils marchent bien, mais par moment sur certains exécutables, c'est possible qu'il ne block pas sans une option particulière.
Regardes dans : Options=>Debugging Options=>Events. Que vois tu à "Make First pause at" ?
La 3.7 ne veut pas, problème de "btree" au début (même avec un simple PE tout bête). Je vais me procurer la 4.1 gratuite qui pèse hélas 11 Mo. Mais bon, c'est pour une bonne cause. Modem RTC? :)
Je verrai, merci. C'est la qu'on voit la puissance d'IDA!
Si tu as des problèmes avec le script IDC, je peux t'aider sans soucis.
Amicalement,
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Frederic Bonroy
Oui mais comme je te disais, sans reglages particuliers, ils marchent bien, mais par moment sur certains exécutables, c'est possible qu'il ne block pas sans une option particulière.
Regardes dans : Options=>Debugging Options=>Events. Que vois tu à "Make First pause at" ?
WinMain, mais j'avais effacé et réinstallé OllyDbg complètement donc c'est le réglage par défaut. D'ailleurs c'est avec ce réglage que j'ai chargé Kenston dans Vmware et là pas d'exécution.
Je suppose que "entry point of main module" est plus sûr...
Petit joueur ;-)
Ah quand il n'y a pas de danger je me défoule!! :-)
Modem RTC? :)
Numéris 64 kbit/s.
Si tu as des problèmes avec le script IDC, je peux t'aider sans soucis.
En fait, en parlant de soucis... Ida me dit en chargeant le fichier: "Entry point 0421000 is not loaded into the database. Do you want to load the missing data?" Alors je confirme et il répond par "Sorry, it is not possible to load the missing data".
Je ne suis donc pas en mesure de visualiser le code au point d'entrée du virus qui se trouve dans .reloc. IDA affiche alors le code au point d'entrée du programme "sain" dans .text.
(Il s'agit là de hwinfo.exe du répertoire Windows infecté par Kenston; mais le problème est le même avec Poson.)
Oui mais comme je te disais, sans reglages particuliers, ils marchent
bien, mais par moment sur certains exécutables, c'est possible qu'il ne
block pas sans une option particulière.
Regardes dans :
Options=>Debugging Options=>Events.
Que vois tu à "Make First pause at" ?
WinMain, mais j'avais effacé et réinstallé OllyDbg complètement donc
c'est le réglage par défaut. D'ailleurs c'est avec ce réglage que j'ai
chargé Kenston dans Vmware et là pas d'exécution.
Je suppose que "entry point of main module" est plus sûr...
Petit joueur ;-)
Ah quand il n'y a pas de danger je me défoule!! :-)
Modem RTC? :)
Numéris 64 kbit/s.
Si tu as des problèmes avec le script IDC, je peux t'aider sans soucis.
En fait, en parlant de soucis... Ida me dit en chargeant le fichier:
"Entry point 0421000 is not loaded into the database. Do you want to
load the missing data?"
Alors je confirme et il répond par "Sorry, it is not possible to load
the missing data".
Je ne suis donc pas en mesure de visualiser le code au point d'entrée du
virus qui se trouve dans .reloc. IDA affiche alors le code au point
d'entrée du programme "sain" dans .text.
(Il s'agit là de hwinfo.exe du répertoire Windows infecté par Kenston;
mais le problème est le même avec Poson.)
Oui mais comme je te disais, sans reglages particuliers, ils marchent bien, mais par moment sur certains exécutables, c'est possible qu'il ne block pas sans une option particulière.
Regardes dans : Options=>Debugging Options=>Events. Que vois tu à "Make First pause at" ?
WinMain, mais j'avais effacé et réinstallé OllyDbg complètement donc c'est le réglage par défaut. D'ailleurs c'est avec ce réglage que j'ai chargé Kenston dans Vmware et là pas d'exécution.
Je suppose que "entry point of main module" est plus sûr...
Petit joueur ;-)
Ah quand il n'y a pas de danger je me défoule!! :-)
Modem RTC? :)
Numéris 64 kbit/s.
Si tu as des problèmes avec le script IDC, je peux t'aider sans soucis.
En fait, en parlant de soucis... Ida me dit en chargeant le fichier: "Entry point 0421000 is not loaded into the database. Do you want to load the missing data?" Alors je confirme et il répond par "Sorry, it is not possible to load the missing data".
Je ne suis donc pas en mesure de visualiser le code au point d'entrée du virus qui se trouve dans .reloc. IDA affiche alors le code au point d'entrée du programme "sain" dans .text.
(Il s'agit là de hwinfo.exe du répertoire Windows infecté par Kenston; mais le problème est le même avec Poson.)
Frederic Bonroy
Ya plus qu'a émuler ça :))
Ben voilà, le but du jeu c'est ça.
Ton émulateur tu vas le faire scriptable ? C'est à dire que tu veux pouvoir le commander ? Genre tu lui dis d'émuler à partir de l'entry point, et tu lui dis combien de temps il faut émuler, ou nombre d'instructions à emuler ou etc?
Très bonne question. Il faudrait essayer de déterminer heuristiquement* quand l'émulation peut/doit cesser. En fait, dans le cas de Kenston c'est après la boucle car après on doit pouvoir faire une recherche de chaîne. Mais ce serait de la triche car l'émulateur devrait être plus ou moins universel et savoir quand s'arrêter quel que soit le programme émulé.
Quant à l'émulateur même, scriptable certainement pas. Je serai déjà content le jour où il arrivera à peu près à émuler cette boucle. :-)
Car tu ne veux pas émuler tout le virus je suppose :)
Certainement pas. :-)
* quand je dis heuristiquement, je ne pense pas la recherche heuristique de virus, mais à la signification "normale" du mot "heuristique" qui n'a rien à voir avec les virus.
Ya plus qu'a émuler ça :))
Ben voilà, le but du jeu c'est ça.
Ton émulateur tu vas le faire scriptable ?
C'est à dire que tu veux pouvoir le commander ?
Genre tu lui dis d'émuler à partir de l'entry point, et tu lui dis
combien de temps il faut émuler, ou nombre d'instructions à emuler ou etc?
Très bonne question. Il faudrait essayer de déterminer heuristiquement*
quand l'émulation peut/doit cesser. En fait, dans le cas de Kenston
c'est après la boucle car après on doit pouvoir faire une recherche de
chaîne. Mais ce serait de la triche car l'émulateur devrait être plus ou
moins universel et savoir quand s'arrêter quel que soit le programme émulé.
Quant à l'émulateur même, scriptable certainement pas. Je serai déjà
content le jour où il arrivera à peu près à émuler cette boucle. :-)
Car tu ne veux pas émuler tout le virus je suppose :)
Certainement pas. :-)
* quand je dis heuristiquement, je ne pense pas la recherche heuristique
de virus, mais à la signification "normale" du mot "heuristique" qui n'a
rien à voir avec les virus.
Ton émulateur tu vas le faire scriptable ? C'est à dire que tu veux pouvoir le commander ? Genre tu lui dis d'émuler à partir de l'entry point, et tu lui dis combien de temps il faut émuler, ou nombre d'instructions à emuler ou etc?
Très bonne question. Il faudrait essayer de déterminer heuristiquement* quand l'émulation peut/doit cesser. En fait, dans le cas de Kenston c'est après la boucle car après on doit pouvoir faire une recherche de chaîne. Mais ce serait de la triche car l'émulateur devrait être plus ou moins universel et savoir quand s'arrêter quel que soit le programme émulé.
Quant à l'émulateur même, scriptable certainement pas. Je serai déjà content le jour où il arrivera à peu près à émuler cette boucle. :-)
Car tu ne veux pas émuler tout le virus je suppose :)
Certainement pas. :-)
* quand je dis heuristiquement, je ne pense pas la recherche heuristique de virus, mais à la signification "normale" du mot "heuristique" qui n'a rien à voir avec les virus.
Nicob
On Tue, 03 Feb 2004 18:33:47 +0100, Yannick Patois wrote:
file.zip fait 6669 octets.
Ca fait peu. Le mien fait 26931 octets.
je n'arrive pas à le dézipper avec unzip (meme si file me dit que c'est bien un zip).
Sans doute a-t-il été corrompu. "file" n'examine que le tout début du fichier.
Nicob
On Tue, 03 Feb 2004 18:33:47 +0100, Yannick Patois wrote:
file.zip fait 6669 octets.
Ca fait peu. Le mien fait 26931 octets.
je n'arrive pas à le dézipper avec unzip (meme si file me dit que c'est
bien un zip).
Sans doute a-t-il été corrompu. "file" n'examine que le tout début du
fichier.
