Trojaner analysieren

[paco89]

hallo,

ich würde gerne Trojaner analysieren, also Reverse Engineering anwenden.
Falls sich jmd. besser damit auskennt, so würde es mich freuen, zu wissen, wie man an .exe dateien rankommt, die mit einem trojaner verseucht sind.

Leider konnte ich bis jetzt nichts finden...



vielen dank schonmal im Voraus für die hilfe....

 

[paco89]

jo, danke für die tolle Seite mit den vielen Links.


Allerdings habe ich noch eine kleine Frage. und zwar habe ich auf contagio: DarkSeoul - Jokra - MBR wiper samples

die Datei "DarkSeol.zip" heruntergeladen und entpackt. In der Angabe steht, dass es sich dabei um eine WIN 32 EXE handelt. Aber wenn ich den entpackten Ordner öffne, so finde ich keine .exe-Datei.
Die Dateien, die darin enthalten sind, haben sehr lange namen mit Zahlen und Buchstaben. Keine .exe-Datei weit und breit.

muss ich da was mit den Dateien zusätzlich noch anstellen? kann mir da jmd. vtl. weiterhelfen?



gruß,

 

[CDW]

z.B mit einem Hexeditor anschauen (soweit ich's sehe, muss man das Passwort für die Darkseoul.zip per Email anfragen ). Exe-Endung braucht man nur, wenn der Nutzer oder Shell die Datei starten soll - bei vielen anderen Ausführungsmöglichkeiten (z.B CreateProcess) ist die Endung egal)
PS:
Für WinXP müsste zum MBR Überschreiben ein

CreateFile("\\.\PhysicalDrive<X>", <richtige Flags hier>)

reichen.

 

[paco89]

aso, mit hexeditor. Ich dachte, ich bekomme eine .exe-datei, die ich mit Ollydbg bearbeiten kann, also Reverse Engineering anwenden.

Das mit passwort hab ich geregelt. Das Passwortschema ist immer infected666 und am ende kommt immer der letzte Buchstabe vor der .zip-Endung. Beispielsweise ist diese datei ja "DarkSeoul.zip". Also lautet das passwort : "infected666l" (also das l als letzten buchstaben noch dranhängen.)

 

[CDW]

aso, mit hexeditor. Ich dachte, ich bekomme eine .exe-datei, die ich mit Ollydbg bearbeiten kann, also Reverse Engineering anwenden.

Nein. Du kannst mit nem Hexeditor schauen, ob es eine Exe (startet mit MZ) ist und diese dann mit IDA/OllyDbg öffnen. OllyDbg ist die Endung auch relativ egal. Alternativ einfach probieren, die Dateien mit Olly zu öffnen (was vielleicht nicht die beste Strategie ist).

 

[paco89]

jop, alles geregelt. Vielen Dank für die Hilfe und Mühe...



gruß,

 

[paco89]

habe noch 2 Fragen bezgl. diesem Thema:

1.Frage: Wenn ich OllyDbg öffne, so erscheint die Meldung: "You dont have administrative rights on this computer. As a result, some debugging features may fail. To enable all OllyDbg features, please log in as administrator."

hab gegooglet und rausgefunden, dass ich OllyDbg als Administrator ausführen muss. Aber wenn ich das mache, dann kann ich die zu untersuchenden Dateien nicht mehr per Drag and Drop in OllyDbg reinziehen.
Wenn ich nicht als Administrator das Programm öffne, dann kann ich die Datei, die ich untersuchen will, schon reinziehen.

Würde schon das Programm "OllyDbg" schon gerne als Administrator.
Hat jmd. vtl. nen Rat, wie ich das lösen kann?


Frage 2:
Habe zunächst das Programm ohne Administrator aufgeführt. Wenn ich die Datei jetzt reinziehe, erscheint die Meldung, dass es sich um eine kompresste Datei handelt, sodass die Analyse nicht leicht fällt. Wie kann man rausfinden, wie man die Datei wieder "dekompressen". Weiß das vtl. jmd.?

 

[DerW]

Dass Drag & Drop nicht funktioniert, liegt daran, dass das eine Programm mit Administratorberechtigungen und das andere mit Standardberechtigungen ausgeführt wird. Entweder, du startest extra dafür einen Explorer mit Administratorberechtigungen oder du benutzt einfach den Befehl "File"-"Open" zum Öffnen .

Zum zweiten Problem, da solltest du erst einmal herausfinden, wie das Programm gepackt ist (dafür gibt es z.B. Scanner wie PEiD und ähnliche) und dann dafür entweder fertige Programme oder Tutorials zum Entpacken suchen. Das Stichwort für Tutorials ist in diesem Wort "manual unpacking", für Programme einfach nach "Packername unpacker/decrypter" suchen.

Da es scheint, dass du dich noch nicht so gut mit dem Thema auskennst, noch der kurze Hinweis, dass die Programme auf deinem Rechner so weit ausgeführt werden, wie du es im Debugger (versehentlich) zulässt. Also benutze am besten lieber eine virtuelle Maschine dafür, sonst könnte es zu Problemen führen.

Außerdem ist es gut möglich, dass das Programm sich gegen deine Analyseversuche wehren möchte mit Hilfe von "Anti-Debugging"-Techniken. In dem Fall wäre deine nächste Suche dann nach "Anti-Anti-Debugging"