banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: TQN  XML
Profile for TQN Messages posted by TQN [ number of posts not being displayed on this page: 0 ]
 
Dùng xcopy chạy ngoài console là nhanh nhất vì bỏ qua các thao tác làm chậm của Shell API.
Trên máy tui, WM Player v9, toàn bộ các EXE và DLL đều được viết = VC++ của VS .NET 2003. Linker version = 7.1.
À quên, soft VN, không chỉ được. Chỉ cho cậu rồi thằng cha gì gì đó tìm tui bụp thì "làm sao tay". Ai lại đi đạp đổ miếng ăn của người khác. Nếu tiền đó là tiền của công ty thì "mackeno", đâu phải tiền mình đâu mà tiếc.
Chuyện nhỏ ! Lấy mỗi máy 5 triệu thì hơi bị mắc đấy.
Ừ, chắc tưỡng mình viết, quên đề tên tác giả chút xíu thôi, làm gì dữ vậy, cũng giống như mấy cha "hét cơ" (hay "hét to" gì đó) thuận tay đề thêm "developped by .... tui ấy mà !!!???
Đọc cái này thấy quen quen, không nhớ đã gặp ở đâu rồi.
À, có phải đây không, 6 tutor của Emiliano Scavuzzo:
http://usuarios.arnet.com.ar/fliamarconato/pages/etutorial1.html
http://usuarios.arnet.com.ar/fliamarconato/pages/etutorial2.html
http://usuarios.arnet.com.ar/fliamarconato/pages/etutorial3.html
http://usuarios.arnet.com.ar/fliamarconato/pages/etutorial4.html
http://usuarios.arnet.com.ar/fliamarconato/pages/etutorial5.html
http://usuarios.arnet.com.ar/fliamarconato/pages/etutorial6.html
Nhảm nhí cho mấy hec cơ này quá, cứ lo đấu đá nhau.
Cái này mới đỉnh nè: tắt máy bằng ngón chân. Máy tui có ổ cắm điện có công tắc ở dưới tủ, mỗi lần tắt máy là tui thò chân tắt cái bụp = ngón chân cái.
Mấy thằng cha bên codeguru nói cũng sai, vấn đề không phải là dll không settimer được, mà chính là ở chổ thread của app và dll đó có 1 message queue không (console app, service app). Nếu không có, thì OS không post được WM_TIMER vào (vào đâu bây giờ ???), không post vào được thì không có WM_TIMER event cho default wnd proc hay TimerFunc.
Để tạo 1 message queue, đơn giản chỉ cần gọi SendMessage vớ WM_NULL, OS sẽ tạo message queue và default window proc.
Đọc lại thật MSDN về hàm SetTimer và TimerProc, phần Remarks.
Thứ tự ưu tiên của WM_TIMER thấp nhất trong tất cả các Windows message, WM_PAINT đứng nhì. Vì vậy sẽ không chính xác time elapsed.
Ai nói là Dll không call được SetTimer, tào lao. Dll và app đều như nhau cả, chỉ # 1 bit Characteris thôi. Miễn sao TimerFunc là hợp lệ, FALSE == IsBadCodePtr(TimerFunc). Coi thử có sai thông số hWnd không, nếu có thì OS gởi WM_TIMER tới hWnd đó, có nếu NULL thì call TimerFunc.
AV của Hoàng có quét theo hành vi không, có tạo lập một emulator để load các virus không. Các mẫu vừa rồi, khi vừa down về thì Bit detect được, nhưng khi tui unpack xong thì không detect ra nữa. vd như file kspoold.exe, pack = upx.
Gần xong rồi, con này nguy hiểm đấy.
2 file .doc bác cần thì pm cho tui, còn không thì tui delete.
Lại thêm 1 con code = Delphi nữa, quái thiệt. Tui virus writter có biết rằng code virus = Delphi là dể reverse và phân tích nhất.
File tieuluan.exe và bia tl.exe nhúng file .doc tương ứng và file kspoold.exe ở cuối file. Khi hai file này run, đầu tiên nó extract file kspoold.exe vào system32 dir, ShellExecuteA nó với thông số /INSTALL /SILENT. Sau đó nó extract file .doc tương ứng vào current dir rồi ShellExecuteA open file .doc đó.
kspoold.exe khi run sẽ đăng ký và run as một service với name là kspooldaemon, description là K Print Spooler. Service này recursive quét tất cả các drive, tìm các file với extension: .doc, .xls, .mdf, .ldf, .dbf, .bak để infect.
Hình như con này là của Parkistan hay Ấn độ, thấy mấy string này: UKURAN_EKSTRAKTOR, File yang tersimpan telah rusak, String terlalu panjang.
Cậu gọi SetTimer ra sao, post đoạn code lên ?
Cũng không được, vì có thể call dynamic SetWindowsHook(Ex), hoặc có import nhưng chưa chắc đã call. Một số trình rootkit detect phát hiện được app hook, handle hook, type hook, address of hook function. Không biết chúng làm ra sao, để khi nào RE xem thử.
Có 1 vấn đề # tui cũng thắc mắc, làm sao phát hiện được thread nào là thread được inject vào 1 process theo cách write code vào memory của process, chứ không dùng cách load dll vào.
Giúp cậu để cậu ra đời 1 con virus made in Vietnam à !!!??? Còn ring3 - ring0 trên các Win bây giờ thì nên quên nó đi.
Quái, mấy ngày nay sao gặp toàn malware code = Delphi không ?
Gặp cái class TPingMuKongZhiThread, thấy mắc cười quá, chắc của 1 thằng TQ nào đây. Đã vậy, lần đầu mới gặp, con này có thêm tính năng capture màn hình thành file video.avi và capture từng frame thành file .bmp để gởi đi. Nó dùng 1 free component: TVideoCapture.
Muốn "level lên mấy phát đây" thì tự ngồi phân tích và thịt nó đi, đừng nhờ người khác.
llaclla.exe thực chất là 1 dll, đỗi thành .exe thôi, nên bà con đừng cố run nó, run cũng không được đâu, và chả chết ai.
Cả 2 .dll này đều được viết = Borland Delphi 7, pack = 2 lớp, UPX rồi Morphine.
Một số hàm export của nó:
ServiceMain // register and run as a serive
WLEventLogoff // do nothing
WLEventLogon // do nothing
DllUnregisterServer // do nothing
DllRegisterServer // setup dll BHO
DllCanUnloadNow // do nothing
DllGetClassObject // do nothing
DllEntryPoint // default
Dll này không đặt code khởi tạo trong DllEntryPoint và lại đặt trong unit initialization của unit Main của nó (bà con code Delphi biết cái này).
Hơn nữa, trojan này dùng rất nhiều crypto algorithm, dưới đây là list 1 số của nó:
Code:
BASE64 table :: 0001B7A4 :: 0041D1A4
BLOWFISH [sbox] :: 0001B82C :: 0041D22C
CRC32 :: 0001C82C :: 0041E22C
FGint Base10StringToFGInt :: 00009E4C :: 0040AA4C
FGint Base256StringToFGInt :: 00009CB8 :: 0040A8B8
FGint Base2StringToFGInt :: 00009A98 :: 0040A698
FGint FGIntToBase256String :: 00009BC4 :: 0040A7C4
FGint FGIntToBase2String :: 000099E4 :: 0040A5E4
FGint MontgomeryModExp :: 0000B564 :: 0040C164
MD5 :: 00008841 :: 00409441
PI fraction (NIMBUS / BLOWFISH) :: 0001B7E4 :: 0041D1E4
SHA-256 [mixing] :: 0001CC7C :: 0041E67C

Coi bộ cũng không dễ ăn với con này, IDA ra còn unknown nhiều quá.
Giờ khuya rồi, đi ngủ, tối mai phân tích tiếp.
Cậu luckylac có vẻ quãng cáo con virus sắp ra đời của cậu quá nhỉ, sợ quá !!! Gởi cho tui một con đi.
Turbo C là compiler quá cũ rồi, các hàm thư viện của nó có nhiều bug và nguy hiểm. Còn GCC là compiler rất tốt, cập nhật thường xuyên, và GCC đưa ra warning cho hàm gets là đúng, chúng ta không nên dùng hàm gets nữa. Các cậu thử nghỉ nếu user input vào 1 chuỗi chứa mã thực thi, dài hơn chuỗi khai báo để modify return value của function đang gọi hàm gets thì sao. Đây là một lỗi nghiêm trọng đấy.
Cậu define MAX sai, nên khi compiler preprocessor, nó expand ra thành:
Code:
k = 10 * x > y ? x : y
Khi run:
k = 10 * 10 > 20 ? 10 : 20 => return 10 do 100 > 20;

Phải modify lại thành:
Code:
#define MAX(x, y) ((x) > (y) ? (x) : (y))
Đó gọi là SFC - System File Checker.
Cái gì chứ source của con daknong hay gần gần gì đó thì tui đã xem rồi. Ẹ lắm, nhìn vào code là thấp copy & paste của rất nhiều nguồn, rồi chưa kể coding style rất tệ của dungcoi nhà ta nữa. Vậy mà nó cũng sinh ra được 1 con virus đấy chứ (?????????!!!!!!!!!!)
Có 2 file .exe khả nghi: C:\WINDOWS\tsnp325.exe và C:\WINDOWS\vsnp325.exe. Copy nó qua máy nào có cài Ka hay Bit quét thử xem.
Tui với cậu post cùng 1 lúc.
Windows Time
The Windows Time system service maintains date and time synchronization on all Windows XP and Windows Server 2003-based computers on a network. This service uses Network Time Protocol (NTP) to synchronize computer clocks so that an accurate clock value, or timestamp is assigned for network validation and for resource access requests. The implementation of NTP and the integration of time providers help make Windows Time a reliable and scalable time service for your enterprise. For computers that are not joined to a domain, you can configure Windows Time to synchronize time with an external time source. If this service is turned off, the time setting for local computers is not synchronized with a time service in the Windows domain or with an externally configured time service. Windows Server 2003 uses NTP. NTP runs on UDP port 123. The Windows 2000 version of this service uses Simple Network Time Protocol (SNTP). SNTP also runs on UDP port 123.
Code:
System service name: W32Time
Application protocol Protocol Ports
NTP UDP 123
SNTP UDP 123

Tắt W32Time service là xong, chả có malware gì ở đây hết.
Quyền của Admin mà còn hạn chế thì quyền của ai mới không hạn chế ??????????????????????
Dể thế cơ à, cậu làm thử chưa, nếu chưa thì làm thử đi, làm sao mà vẫn boot vào Windows được và mọi thứ vẫn chạy bình thường đấy. Nên nhớ là userinit.exe và winlogon.exe được SFC (System File Checker) của Windows bảo vệ đấy. Cậu tắt SFC được chưa, trên máy cậu đấy.
Theo 1 article vừa rồi của Symantec, 99% virus writer là các kiddies, script kiddies, copy-paste kiddies. Vì vậy code virus của chúng lỗi tràn lan, tự kill mình cũng có, đấu đá tranh chấp nhau cũng có... Các bạn có thể đọc tại đây: http://www.symantec.com/avcenter/reference/me.code.write.good.pdf.
Articles này của Nicolas Burez, 1 chuyên gia nổi tiếng thế giới về RE, AV.
 
Go to Page:  First Page Page 24 25 26 27 Page 29 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|