Участник
Участник
- Статус
- Оффлайн
- Регистрация
- 23 Фев 2017
- Сообщения
- 612
- Реакции
- 504
Вот моя маленькая исследовательская работа. В одной из моих тем @Spec122 попросил проверить кряк ZEUS на вирусы. Скинув мне 2 длл (патчер и сам кряк), я приступил к проверке.
Анализ DIE показал след.:
Итак, есть 2 длл на C++, одна из них накрыта VMProtect. Патчер весит 32 кб, а значит точно не запакован. Открываем через 7Zip для просмотра data/rdata:
Просмотрев файлы, никаких ссылок на скачивание я не нашел. Открывал через IDA, безуспешно. А это может означать одно - патчер чистый!
Вскрывать VM не было желания (как и умений, чтобы это сделать), поэтому я решил перейти на виртуальную машину.
Скачал я LLDetecter от @P45H3 . Я запустил FileMon и сделал его скрытным через ProcessHacker. Закрыл диспетчер задач. Заинжектил дллки в LLDetecter (3 раза). Глянул FileMon через 30 минут. НИЧЕГО не скачалось. Как итог: ВИРУСОВ НЕТ. Наверное, слух распространили, чтобы кряк потерял популярность. Возможно мой анализ не компетентный.
Анализ DIE показал след.:
Итак, есть 2 длл на C++, одна из них накрыта VMProtect. Патчер весит 32 кб, а значит точно не запакован. Открываем через 7Zip для просмотра data/rdata:
Просмотрев файлы, никаких ссылок на скачивание я не нашел. Открывал через IDA, безуспешно. А это может означать одно - патчер чистый!
Вскрывать VM не было желания (как и умений, чтобы это сделать), поэтому я решил перейти на виртуальную машину.
Скачал я LLDetecter от @P45H3 . Я запустил FileMon и сделал его скрытным через ProcessHacker. Закрыл диспетчер задач. Заинжектил дллки в LLDetecter (3 раза). Глянул FileMon через 30 минут. НИЧЕГО не скачалось. Как итог: ВИРУСОВ НЕТ. Наверное, слух распространили, чтобы кряк потерял популярность. Возможно мой анализ не компетентный.
