Tag Archives: Reverse

Bypass de Cuckoo, la méthode HackedTeam

Bien… Comme tout le monde, c’est bien évidemment que je suis allé voir le code de nos amis transalpins. Et quel joie de trouver une solution de bypass de Cuckoo que je ne connaissait pas. Le code officiel est là … Continue reading

Posted in Asm, Coding, Malware, Reverse | Tagged , , , , , | 4 Comments

Trouver le setup et le main sur l’arduino…

Suite a une question de mon unique lecteur :) voici quelque précisions concernant le loading et les routines de base d’un code arduino dans IDA. Loader un binaire Donc je ne revient pas sur le setup d’IDA et la création … Continue reading

Posted in Asm, Reverse | Tagged , , | 6 Comments

Extraction de String / Episode A

Bon… des fois, la fonction d’obfuscation de string d’un malware est chiante et illisible (bref comme il faudrait que ce soit) Et en plus décousue, je veux dire par là que le malware va la picorer et ne deobfusque pas … Continue reading

Posted in Asm, Reverse | Tagged , , | Leave a comment

DecrottePE compatible chinese style.

Bon tant que j’y était, histoire de plus perdre de temps avec certains packer à deux balles ou des dumps encrypté à la chinoise (Xor de base ou Xor shifté). Voici une version de «decrottePE.py» qui bruteforce; C’est pas joli, mais … Continue reading

Posted in Crypto, Malware, Reverse | Tagged , , | 1 Comment

La formidable librairie PEFILE

Petit focus sur la librairie python pefile (Dispo ICI ) créée par Ero Carrera. Cette librairie permet de parser un executable windows sans se fatiguer que celui-ci soit 64 ou 32 bits. J’ai pondu deux minis scripts python avec cette librairie, … Continue reading

Posted in Reverse | Tagged , , | 1 Comment

Le cap a été franchis…

Ca y est le premier exploit avec du bypass de EMET a été débusqué http://researchcenter.paloaltonetworks.com/2014/11/addressing-cve-2014-6332-swf-exploit/ Ca reste du emet 4.1, ca bypass pas toutes les protections… Mais c’est partis ! :)

Posted in Malware, Reverse | Tagged , , | Leave a comment

Packer sans ta mère, Level II, Prérequis III : LoaderDATA

On va voir aujourd’hui un grand classique des packer et aussi des shellcodes; Comment trouver et parser la liste des DLL afin de trouver le début d’une DLL mappée en mémoire; Désormais on sait que grace au PEB + 0xC on peut trouver … Continue reading

Posted in Asm, Malware, Reverse, Windows | Tagged , , , , , | Leave a comment

Packer sans ta mère level II prerequis II le PEB

Il y a 5 mois que je vous ai laissé tomber au milieu de cette série de post. Je me rend compte qu’il faut y avancer un peu car sinon tenter d’expliquer le dernier packer au plus grand nombre sans perdre … Continue reading

Posted in Reverse, Windows | Tagged , , | 2 Comments

IDAPYTHON pour nommer les appels indirects aux fonctions

Après avoir recherché partout et fatigué tout le monde via IRC, je n’ai pas trouvé de solution sympa pour résoudre automatiquement les noms de fonction dans IDA quand les appels à celles-ci ne sont pas déclarées dans l’IAT. Bon, j’ai … Continue reading

Posted in Asm, Reverse | Tagged , , | 2 Comments

Le Droppeur du jour, label231486.pdf – Part 2

Suite de l’analyse de la facture de chez DHL :) On le dépacke ! Le dit sample est dispo dans AvCaesar chez Malware.lu mais on n’y apprend pas grand chose de plus. A première vue, on n’arrivera pas a dépacker … Continue reading

Posted in Malware, Reverse | Tagged , , , | Leave a comment