"Honey, you think KFC is still open?" - Frank the tank / old school the movie
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
Het feit dat het een virus is wil niet zeggen dat de originele maker ervan geen copyrights heeft over de code; echter acht ik de kans klein dat de maker daar ooit aanspraak op zal doen 
Intentionally left blank
:strip_exif()/u/7759/red_cat.gif?f=community)
Uhm nee hoor, Windows executables en DLL's hebben wel degelijk allemaal een enorme header. Ik weet alleen de layout er zo snel niet van en ik ben vandaag te lui om 'm op te zoeken
:strip_icc():strip_exif()/u/77332/crop5e54ec42433bc_cropped.jpeg?f=community)
ok:
[...]
Uhm nee hoor, Windows executables en DLL's hebben wel degelijk allemaal een enorme header. Ik weet alleen de layout er zo snel niet van en ik ben vandaag te lui om 'm op te zoeken
zie de overeenkomsten en verschillen. Daar moet op google genoeg over te vinden zijn
Doet iets met Cloud (MS/IBM)
Als windows bestanden aan de extentie zou herkennen zou 'ie de executible toch gewoon uitvoeren. Lijk mij zo:
[...]
En wat bewijst dat?
overigens heb ik al laten zien dat de header er _wel_ is. das dan weer wel boeiend:
[...]
Ah, oke dan begrijpen wij elkaar
Doet iets met Cloud (MS/IBM)
Lijkt mij toch niet. Zoals je in D2k's screenshots kunt zien zijn de eerste 2 bytes van een Bitmap file altijd BM. Maar als 'm renamed naar .jpeg opent ie 'm niet meer hoor
Kijk eens in je registry onder HKEY_CLASSES_ROOT en neus voor de lol eens door wat bekende extensies, dan snap je wellicht hoe Windows Explorer werkt
Voor topicstarter: lees dit artikel eens op MSDN door, inclusief demo-code om PE (Portable Executable) headers te dumpen
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
[google=win32 pe], eerste hit:
[...]
Uhm nee hoor, Windows executables en DLL's hebben wel degelijk allemaal een enorme header. Ik weet alleen de layout er zo snel niet van en ik ben vandaag te lui om 'm op te zoeken
modbreak: lees de draad, of minstens de post boven je, voordat je blaat
De post boven me wordt pas de post boven me als ik zelf heb gepost, dus dat wordt wat moeilijk
[ Voor 29% gewijzigd door .oisyn op 30-01-2004 19:44 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Ik ben bekend met het registry en hoe windows zijn extenties afhandeld, vandaar dat er ook stond Als:
[...]
Lijkt mij toch niet. Zoals je in D2k's screenshots kunt zien zijn de eerste 2 bytes van een Bitmap file altijd BM. Maar als 'm renamed naar .jpeg opent ie 'm niet meer hoor
Kijk eens in je registry onder HKEY_CLASSES_ROOT en neus voor de lol eens door wat bekende extensies, dan snap je wellicht hoe Windows Explorer werkt
Voor topicstarter: lees dit artikel eens op MSDN door, inclusief demo-code om PE (Portable Executable) headers te dumpen
Dit heb je dus niet nodig, je hebt gewoon een dissambler nodig, haal hem daar doorheen en je hebt de assembly code (of jij daar wat mee kunt heb ik geen idee van
)edit:
Om te kijken of 'iets' met vb is gemaakt moet je kijken naar dingen als:
code:
1
2
3
4
5
| MSVBVM60._CItan MSVBVM60.__vbaVarForNext MSVBVM60._CIexp MSVBVM60.__vbaFreeStr MSVBVM60.__vbaFreeObj |
[ Voor 23% gewijzigd door PrisonerOfPain op 30-01-2004 19:57 ]
Verklaar je nader? Ik gebruikte decompiler in de zin van disassambler.. misschien beetje verkeerde woordkeus, maar als ik weet dat ik asm terug krijg, dan zou ik toch wel een beetje weten wat ik aan het doen ben toch?
neem aan dat de gem. n00b geen i386 asm kan lezen
[ Voor 7% gewijzigd door djteddy op 30-01-2004 20:03 ]
"Honey, you think KFC is still open?" - Frank the tank / old school the movie
/offtopic: als het met goede commentaar is wel:
[...]
Verklaar je nader? Ik gebruikte decompiler in de zin van disassambler.. misschien beetje verkeerde woordkeus, maar als ik weet dat ik asm terug krijg, dan zou ik toch wel een beetje weten wat ik aan het doen ben toch?
neem aan dat de gem. n00b geen i386 asm kan lezen
/ontopic:
Misschien is het makkelijker om een klein oud dos virusje van een paar kB groot te proberen te begrijpen.
Ik heb jaren geleden erg veel daarvan geleert weet ik nog
486DX2-50 16MB ECC RAM 4x 500MB Drive array 1.44MB FDD MS-Dos 6.22
zelf modificerende code != polymorfie, google dan eens naar self modifying code, zou genoeg op moeten leveren
hmm wat is het dan volgens jou, ff van populaire website trokken::
[...]
zelf modificerende code != polymorfie, google dan eens naar self modifying code, zou genoeg op moeten leveren
In de viruswereld houdt polymorf in dat het virus kan muteren, waarbij een volledig nieuwe viruscode ontstaat.
"Honey, you think KFC is still open?" - Frank the tank / old school the movie
:strip_exif()/u/2087/osiris_ani.gif?f=community)
't Is wel een beetje offtopic, maar als je kloot met viri, dan raad ik je aan om dat binnen een beschermde omgeving zoals VMWare (zonder netwerkverbindingen) te doen.. Just to be sure
Mocht er iets mis gaan tijdens 't onderzoek, dan hoef je maar 1 file te verwijderen en je virtuele harde schijf is pleitos inc je virus
Mocht er iets mis gaan tijdens 't onderzoek, dan hoef je maar 1 file te verwijderen en je virtuele harde schijf is pleitos inc je virus
:strip_exif()/u/53522/crop583d477015a24.gif?f=community)
Misschien een loze post, maar ik kreeg het ook maar te horen...
Iemand vertelde me een paar dagen geleden, dat je als je bijvoorbeeld een programma hebt gemaakt in Delphi, dat je dat niet kan deassemblen... Ja het kan wel, maar dan krijg je een nog grotere code dan waarmee het gemaakt is...
Om om me post dan (misschien) nog een beetje zin te geven:
Stel, het virus is gemaakt, in Delphi, dan zou je dus dat virus niet kunnen deassemblen...
En haalt de kabel uit je netwerkkaart...
Iemand vertelde me een paar dagen geleden, dat je als je bijvoorbeeld een programma hebt gemaakt in Delphi, dat je dat niet kan deassemblen... Ja het kan wel, maar dan krijg je een nog grotere code dan waarmee het gemaakt is...
Om om me post dan (misschien) nog een beetje zin te geven:
Stel, het virus is gemaakt, in Delphi, dan zou je dus dat virus niet kunnen deassemblen...
Of je maakt een image, voor je gaat spelen met je virus:
't Is wel een beetje offtopic, maar als je kloot met viri, dan raad ik je aan om dat binnen een beschermde omgeving zoals VMWare (zonder netwerkverbindingen) te doen.. Just to be sure
Mocht er iets mis gaan tijdens 't onderzoek, dan hoef je maar 1 file te verwijderen en je virtuele harde schijf is pleitos inc je virus
En haalt de kabel uit je netwerkkaart...
[ Voor 38% gewijzigd door CH4OS op 30-01-2004 20:39 ]
Ah, dat betekend het in de 'echte' wereld ook, al dus vandale. Maar volgens mij heeft het in de 'programmeer wereld' een iets andere betekenis, daar houd het namelijk bijvoorbeeld inclusion of overloading in. Iets wat volgens mij weinig met self modifying code te maken heeft
edit:
de betekenis blijft natuurlijk hetzelfde, alleen word er iets anders bedoeld
de betekenis blijft natuurlijk hetzelfde, alleen word er iets anders bedoeld
dissamblen wil zeggen dat je van een uitvoerbaar bestand een assembler (human readable cpu instructies), decompilen wil zeggen dat je de originele source achterhaald, en ik denk dat die gene die dat jou heeft verteld dat ook bedoelde
BTW met die *lange lap code* kun je nog wel een hoop doen hoor
[ Voor 49% gewijzigd door PrisonerOfPain op 30-01-2004 20:48 ]
Ten eerste mensen, ik bekijk alleen source code, ik heb geen zin om executables van virii te gaan uitvoeren, dus zou er niets stuk moeten gaan...
Je kunt hier perfect lezen wat een polymorfie virus is en waarom deze 'zo lastig zijn op te sporen'...
(bij OOP betekend het inderdaad iets geheel anders, alle classes van één basis class laten afleiden of iets, weet het niet meer helemaal zeker)
Gaat misschien ook wel wat ver hoor, maar als je iets over theorie van virussen wilt lezen: http://virusinfo.doven-online.nl/virus/index.php:
[...]
Ah, dat betekend het in de 'echte' wereld ook, al dus vandale. Maar volgens mij heeft het in de 'programmeer wereld' een iets andere betekenis, daar houd het namelijk bijvoorbeeld inclusion of overloading in. Iets wat volgens mij weinig met self modifying code te maken heeft
Je kunt hier perfect lezen wat een polymorfie virus is en waarom deze 'zo lastig zijn op te sporen'...
(bij OOP betekend het inderdaad iets geheel anders, alle classes van één basis class laten afleiden of iets, weet het niet meer helemaal zeker
)
"Honey, you think KFC is still open?" - Frank the tank / old school the movie
:strip_exif()/u/27042/12inchicon.gif?f=community)
maar wat ik nog niet uit deze thread kan afleiden: heb je dat virus nou al gedisassembled? Zo nee: heb ik hier een linkje voor je naar een goeie Shareware disassembler: W32dASM
edit:
te laat
te laat
[ Voor 6% gewijzigd door BezurK op 30-01-2004 20:56 ]
Rookworst zonder R is ook worst.
heb dezelfde gebruikt
Als ik nix eruit op kan maken kan ik altijd proberen op een afgesloten systeem een debugsessie te doen met bv SoftICE Ik ben alleen niet echt zo bekend met deze debugger, en werken met virus executables is altijd link (zelfs op een systeem zonder lan met goede backup-image)
Als ik nix eruit op kan maken kan ik altijd proberen op een afgesloten systeem een debugsessie te doen met bv SoftICE
Ik ben alleen niet echt zo bekend met deze debugger, en werken met virus executables is altijd link (zelfs op een systeem zonder lan met goede backup-image)
"Honey, you think KFC is still open?" - Frank the tank / old school the movie
:strip_exif()/u/59683/wheelmouse.gif?f=community)
:strip_exif()/u/11775/SoulTaker.gif?f=community)
:strip_exif()/u/31397/dilbert2.gif?f=community)
Daarentegen gaat de gemiddelde kenner niet op 'bcc' of 'gcc' zoeken in de hexcode van een executable:
[...]
Verklaar je nader? Ik gebruikte decompiler in de zin van disassambler.. misschien beetje verkeerde woordkeus, maar als ik weet dat ik asm terug krijg, dan zou ik toch wel een beetje weten wat ik aan het doen ben toch?
neem aan dat de gem. n00b geen i386 asm kan lezen
Over alle decompilevragen: je hebt dus een decompiler nodig om 'recompilable' sourcecode te kunnen genereren uit een executable. Met een disassembler kun je alleen door de asm scrollen, maar dat is realistisch redelijk onbegonnen werk tenzij je je echt verveelt.
Decompilers kunnen Delphi, C, C++ e.d. 'redelijk' reconstrueren uit een executable, door het afleiden van standaard optimizer patterns en gegenereerde code-structuren. Nadeel is wel dat je alles wat dat soort code juist manageable maakt kwijt bent: al je labels en functienamen worden gerenamed naar offsetbased random termen, commentaar kun je helemaal vergeten, en je moet er niet vreemd van opkijken als C++ classes als losse functies terugkomen. Oh en in general krijg je maar 1 file.
Ik vond in de C-64 en Amiga tijd het disassemblen en uitspittsen van software nog een leuke bezigheid: kon je lekker mee hacken, trainers aanbrengen e.d. Tegenwoordig is het imho gewoon een veels te tijdrovend en bovenal nutteloos karwei: leer MSDN uit je kop en je bent 3 keer zo snel in staat om een verwoestend virus te schrijven, vooral eentje zo stupide als MyDoom of zo die gewoon misbruik maakt van idiote gebruikers die alle attachments openen die ze tegenkomen.
Pagina: 1