Tag Archives: packer

DecrottePE compatible chinese style.

Posted on January 25, 2015 by thanatos

Bon tant que j’y était, histoire de plus perdre de temps avec certains packer à deux balles ou des dumps encrypté à la chinoise (Xor de base ou Xor shifté). Voici une version de «decrottePE.py» qui bruteforce; C’est pas joli, mais … Continue reading

Posted in Crypto, Malware, Reverse | Tagged , , | 1 Comment

La formidable librairie PEFILE

Posted on January 25, 2015 by thanatos

Petit focus sur la librairie python pefile (Dispo ICI ) créée par Ero Carrera. Cette librairie permet de parser un executable windows sans se fatiguer que celui-ci soit 64 ou 32 bits. J’ai pondu deux minis scripts python avec cette librairie, … Continue reading

Posted in Reverse | Tagged , , | 1 Comment

Packer sans ta mère, Level II, Prérequis III : LoaderDATA

Posted on May 28, 2014 by thanatos

On va voir aujourd’hui un grand classique des packer et aussi des shellcodes; Comment trouver et parser la liste des DLL afin de trouver le début d’une DLL mappée en mémoire; Désormais on sait que grace au PEB + 0xC on peut trouver … Continue reading

Posted in Asm, Malware, Reverse, Windows | Tagged , , , , , | Leave a comment

Le Droppeur du jour, label231486.pdf – Part 2

Posted on May 20, 2014 by thanatos

Suite de l’analyse de la facture de chez DHL :) On le dépacke ! Le dit sample est dispo dans AvCaesar chez Malware.lu mais on n’y apprend pas grand chose de plus. A première vue, on n’arrivera pas a dépacker … Continue reading

Posted in Malware, Reverse | Tagged , , , | Leave a comment

Le Droppeur du jour, label231486.pdf – Part 1

Posted on May 16, 2014 by thanatos

Quel ne fut pas ma joie d’ouvrir ma boite aux lettres et de tomber sur une facture envoyée par “sales@meyda.com”. Une sombre histoire de facturation. Dear customer, In your adress received parcel weight 6,5 lb. Our company’s courier couldn’t make … Continue reading

Posted in Malware, Reverse | Tagged , , , | 1 Comment

Packer sans ta mère, Level II, Prérequis I : ViewOfFile

Posted on December 3, 2013 by thanatos

Voila un titre bien pompeux. Je vais consacrer une série d’articles à l’art du dépacking (Oui c’est un ART !), et sachant que c’est en forgeant qu’on devient forgeron dessoudeur (Proverbe Ukrainien), je me rend compte qu’il est nécessaire de … Continue reading

Posted in Coding, Reverse | Tagged , , , , , | Leave a comment

[PROMO] Ca y est la poste me l’a amené !!

Posted on May 30, 2013 by thanatos

Enfin le 1er livre sur le désossage en francais. ISBN : 978-2746079656 Un bon livre d’info, avec le tarif habituel d’un livre info. Sniff…  Malwares Identification-éradication Bon ok, je suis très peu objectif. L’auteur paye ses bières :)

Posted in Asm, BlaBla, Malware, Reverse | Tagged , , , , , , , , | Leave a comment

Virtual Machine, ou Real Machine

Posted on April 16, 2013 by thanatos

Détection d’une VM Comment en 2013 détecter si nous sommes dans une machine virtuelle ? Avant pour Vmware, Xen, Kvm et Virtual PC c’était assez la foire, de sombres in/out dans les backdoors systèmes, des instructions non documentées ou longues comme le … Continue reading

Posted in Malware, Reverse | Tagged , , , | Leave a comment

FareIT, Chronique d’un droppeur

Posted on April 4, 2013 by thanatos

Voyons aujourd’hui comment dépaqueter et analyser ce FareIT Depacking Le packer est suffisant pour un newbies comme moi, il m’a, comme il se doit, bien paummé. Une fois de plus je n’ai pas trouvé un saut propre du style JMP EAX et … Continue reading

Posted in Malware, Reverse | Tagged , , , , , | Leave a comment

Le Packing (For Newbies) Part 1

Posted on February 25, 2013 by thanatos

Il y a quelques temps j’ai reçu un mail m’indiquant un soucis de facturation quelconque  Ce mail contenait, hooo joie, un executable nommé facture.exe tout simplement attaché au mail. Je me suis empressé de regarder la bête : Vous pouvez retrouver cette bête sur malware.lu sous le … Continue reading

Posted in Reverse | Tagged , , , | Leave a comment