Асалам Брат, если боишься получить вирус на пк, то можешь сначало проанализовать ехе. В основе когда мне дают какой то чит, я первым делом заливаю на вт чтобы глянуть о нем информацию.
1.Детекты - По факту детекты бывают разные и то не 100 % всегда правдивые. На этот случай мы смотри что говорят нам антивирусы. Если детектов много, то может уже чуть чуть напрячся, но не сразу отказываться.
2.Защита - В основе, вт всегда может ругаться на протекторы, пример Themida, VMProtect и т.п, с помощью вт можно определить каким из популярных протекторов может быть накрыт ехе. Вот я работал с вмп, знаю за частую бывает детект от microsoft будет выдавать Wacatac.B!ml, а ESET сам пишет "Win64/Packed.VMProtect.AC Suspicious...".
примеры:
Посмотреть вложение 335038
Посмотреть вложение 335039
НО это как бы друг мой не все, есть такая вкладка как DETAILS, там можно узнать информацию о файле. Снизу есть раздел
DetectItEasy, который может спокойно рассказать накрыт этот ехе или вообще он использовал мутатор через макросы написанный через ИИ.
Посмотреть вложение 335040 Посмотреть вложение 335041
Как узнали чем накрыт, можем дальше спускаться. Видем снизу "Portable Executable Info", это информация о заголовок PE нашего ехе. Если он накрыт протекторами, то особо мало это нам что даст, но можно посмотреть секции для дальнейшего анализа. Если он не накрыт, то можем обратится столбец Imports и посмотреть, что он можешь использовать опасного, пример ShellExecute тот же и т.п.
Посмотреть вложение 335044
3. Динамик анализ - для этого нужно наделится вторым компьютером с возможностью его восстановить(либо использовать виртуальную машину). Так братец че делаем, качаем программу UninstallTools, переносим x64dbg для дампа вмп. Первой программой можно попробывать узнать че и куда этот файл сохраняет/качает/запускает, а x64dbg мы можешь использовать Scylla для обхода antidbg системы(для протектора VMP выше 3.9 уже смотри на форуме, там какой то пацан уже объяснил за эти движения). Для дампа VMP можно использовать open source программы, которые могут помочь тебе получить адреса импортов для анализа этого кала приемника, пример есть от colby(
не реклама!), на счет других протекторов, если темида обычная/кряк то можно использовать
(аналогично сверху) для статического анализа(о котором мы поговорим ниже).
4.Статический анализ - че это и с чем едят? Для этого мы используем IDA Pro disassembler либо с фразой "Щас бы гидры поюзать", используем Ghidra disassembler. Оба этих приложения служат для анализа приложений, с возможности их модификаций. Кратко что нужно знать о статическом анализе:
(Псс, скажу так я не пользовался Ghidra, только ida поэтому буду говорить о ней).
1)Вкладки strings - что это? Когда вы жмете shift + f12(или f11, поправьте меня я пишу это сонный), то ida будет сгенерирует вкладку strings, в ней можно узнать о строчках которые оставил наш хакер Петька в своем ехе. Пример:
Пишет он стиллер и ему нужно сделать чтобы при запуске ехе, скачивался файл с гитхаба. Он ввёл запрос "как сделать скачку программы с url c++" и скопировал первый попавшийся код, вставил в свой агрегат, после чего решил скинуть тебе это чудо юдо. Ты же почитав мой обдристанный гайд, решил не тратить время на динамический анализ, так как этот полоумный не умеет накрывать. Ты сдампив ехе, закинул его в ida. И видишь, что импорты скрыты из-за вмп, а фиксить это добро тебе лень, ты спокойной душой жмякаешь комбинацию и получаешь все стринги которые он вписал. А дальше переходя по ним можно уже сделать обратную логику.
Вот условно этот полупокер использовал:
HRESULT hr = URLDownloadToFileA(NULL, "
", ratelnik.c_str(), 0, 0);
Так как импорт URLDownloadToFileA скрыт, а строчка нет, то мы можешь понять что скорее всего этот ушлепок, адресуется по этой ссылке, либо скачивает свой вирус, либо там крутой чит.
2)Так же вкладка imports, как я говорил выше, их можно глянуть через vt(но можно и через любые анализаторы PE, их много). Так'с, импорты могут рассказать много что о нашем файлике, почему их и любят скрывать/ломать. Допустим вернемся к ShellExecute, он позволяет запускать программы/команды. Как помнишь мы узнали что наш Петя, адресовался по адресу "
", и мы узнали что он безрукий качает файл ratelnik.exe в папку "море 2017" на рабочем столе. Допустим условно он использовал крутую фришную темиду, ты её анпакнул и у тебя есть все стринги и импорты. Ты увидел цепочку - URLDownloadToFileA -> ShellExecute, зачем ему скачивать файл с какого то гитхаба, а потом запускать его у тебя на пк? Таким образом можно понять что этот Петя хотел получить пароли и т.п.
P.S. Я лишь дал понятие реверсинга как я знаю и с чем сталкивался, это не все и если захочешь углубиться, то смотри ютуб, там все есть.
Надеюсь меня не засмеют за такие плохие статьи. Пока, светлое нефильтрованное не ждёт!
