Analyse eines Samples

Ein altes Sample lag schon seit Wochen in meinem Homedirectory, da ich es einmal analysieren wollte – der Hash F0B0224B75E899440C15EE05B59B6013. Obgleich es Virenscanner als Backdoor.Win32.Dumador.at erkennen gehe ich ans Werk um es einmal selbst zu zerlegen. Ein Sample mit 21536 Bytes Kampfgewicht und einer Behandlung mit dem FSG Packer sollten schon knackbar sein. Der defekte PE- und der […]

Code Obfuscation – oder wie hindere ich meinen Gegner am debuggen

Nach meinem gestrigen Ausflug mit dem Debugger habe ich mir Gedanken zum Thema Anti-Debugging gemacht und wie man es mit möglichst einfachen Mitteln bewerkstelligt, wie es das Ziel in einem Virus oder ähnlichem Konstrukt sein könnte. Die einfachste Methode um seinen Code unleserlich zu machen ist, ihn mit einem Runtime-Packer zu behandeln.