I was asked to explain why I am interested in malware. Well – why not? Other people are collecting strange things too – coins, stamps,… The first worm I tried to understand was the well known Loveletter. As it is just a VB Script, it is very easy to understand. Why did I read it? Well… there were […]
Tag: debug
Which GCC version did I use?
Compiling can be magic somehow. Especially if you try to reconstruct strange behaviour of a special binary. The interesting question in that case is, which gcc version was used for a particiular binary. As GCC writes its version information, we can find it out with a simple command chain: strings -a /path/to/binary-file | grep “GCC:” | sort -u
Anti-Sandbox code with norman
Norman is not a person. Norman is our good old friend at norman.no – the sandbox, doing binary analysis. In other words, since the Nepenthes module submit_norman it became one of the botnet kiddies greatest enemies as many nets were detected that way.
Wie Malware-Schreiber ihre Software schützen
Es ist lange kein Geheimnis mehr, was man mit verschiedensten Tools im Netz erreichen kann. Denken wir nur an den Fall des Blaster-B Authors Jeffrey Lee Parson zurück: Er hat sich eine Kopie des Blaster-Wurms eingefangen und ihn mit seinem Backdoor-Programm kombiniert und schliesslich freigesetzt. Das Ergebnis war ein neuer Wurm, welcher sich schnell verbreitete und nicht sofort […]
Debugging mit gdb
Wie im Beitrag mit den Debugging-Symbols erwähnt besteht die Möglichkeit, Binaries zu debuggen, sofern die entsprechenden Informationen dazu erhalten sind. Wie dies zu geschehen hat entnehmt bitte dem entsprechenden Beitrag. Ist das System entsprechend vorbereitet, können wir uns das Paket sys-devel/gdb emergen, welches den GNU debugger enthält. Haben wir diesen, können wir damit beginnen, einen Trace zu erstellen.
Was ging denn jetzt schon wieder schief?
Backtraces, Stack-Traces oder wie man diese Teile nun bezeichnet ist eigentlich egal – Um es auf den Punkt zu bringen, wir reden von Debugging und der Interprätation von Fehlern indem wir uns den Inhalt des Stacks eines Programmes ansehen.