Category Archives: Malware

Conservation Nationale

Posted on March 17, 2018 by thanatos

Google ayant supprimé le compte des petits margoulins vendant Infinity Keylogger (Et c’est bien normal). Il m’a quand même semblé important de conserver ce truc drolesque au possible… Here it is …. VIDEO Here : Infinity keylogger SMTP FTP PHP … Continue reading

Posted in BlaBla, Malware | Leave a comment

Bypass de Cuckoo, la méthode HackedTeam

Posted on July 13, 2015 by thanatos

Bien… Comme tout le monde, c’est bien évidemment que je suis allé voir le code de nos amis transalpins. Et quel joie de trouver une solution de bypass de Cuckoo que je ne connaissait pas. Le code officiel est là … Continue reading

Posted in Asm, Coding, Malware, Reverse | Tagged , , , , , | 4 Comments

DecrottePE compatible chinese style.

Posted on January 25, 2015 by thanatos

Bon tant que j’y était, histoire de plus perdre de temps avec certains packer à deux balles ou des dumps encrypté à la chinoise (Xor de base ou Xor shifté). Voici une version de «decrottePE.py» qui bruteforce; C’est pas joli, mais … Continue reading

Posted in Crypto, Malware, Reverse | Tagged , , | 1 Comment

Le cap a été franchis…

Posted on December 2, 2014 by thanatos

Ca y est le premier exploit avec du bypass de EMET a été débusqué http://researchcenter.paloaltonetworks.com/2014/11/addressing-cve-2014-6332-swf-exploit/ Ca reste du emet 4.1, ca bypass pas toutes les protections… Mais c’est partis ! :)

Posted in Malware, Reverse | Tagged , , | Leave a comment

Packer sans ta mère, Level II, Prérequis III : LoaderDATA

Posted on May 28, 2014 by thanatos

On va voir aujourd’hui un grand classique des packer et aussi des shellcodes; Comment trouver et parser la liste des DLL afin de trouver le début d’une DLL mappée en mémoire; Désormais on sait que grace au PEB + 0xC on peut trouver … Continue reading

Posted in Asm, Malware, Reverse, Windows | Tagged , , , , , | Leave a comment

Le Droppeur du jour, label231486.pdf – Part 2

Posted on May 20, 2014 by thanatos

Suite de l’analyse de la facture de chez DHL :) On le dépacke ! Le dit sample est dispo dans AvCaesar chez Malware.lu mais on n’y apprend pas grand chose de plus. A première vue, on n’arrivera pas a dépacker … Continue reading

Posted in Malware, Reverse | Tagged , , , | Leave a comment

Le Droppeur du jour, label231486.pdf – Part 1

Posted on May 16, 2014 by thanatos

Quel ne fut pas ma joie d’ouvrir ma boite aux lettres et de tomber sur une facture envoyée par “sales@meyda.com”. Une sombre histoire de facturation. Dear customer, In your adress received parcel weight 6,5 lb. Our company’s courier couldn’t make … Continue reading

Posted in Malware, Reverse | Tagged , , , | 1 Comment

Dépacking sans IDA :) vive les strings

Posted on February 7, 2014 by thanatos

Un collègue m’a fournit un petit EXE. Voici une petite histoire fort rigolote. Comme quoi la qualité des droppeurs est bien inégale.  À première vue, pfff tendu.. un EXE .NET $ file stage1.exe stage1.exe: PE32 executable (GUI) Intel 80386 Mono/.Net … Continue reading

Posted in Malware, Reverse | Tagged , | Leave a comment

PASSIVE DNS ou l’art de logger le DNS

Posted on October 30, 2013 by thanatos

Comment retrouver quel était l’ip utilisée par le record www.badbadserver.com le 24 décembre d’il y a 2 ans, cet IP correspond t’elle au point d’exfiltration www.re-badserver.com vu ce matin ? Une seule réponse; le DNS Passif, alias PDNS. Passive DNS … Continue reading

Posted in Malware, Network | Tagged , | 2 Comments

[PROMO] Ca y est la poste me l’a amené !!

Posted on May 30, 2013 by thanatos

Enfin le 1er livre sur le désossage en francais. ISBN : 978-2746079656 Un bon livre d’info, avec le tarif habituel d’un livre info. Sniff…  Malwares Identification-éradication Bon ok, je suis très peu objectif. L’auteur paye ses bières :)

Posted in Asm, BlaBla, Malware, Reverse | Tagged , , , , , , , , | Leave a comment