-
Notifications
You must be signed in to change notification settings - Fork 10
Malware analysis with manual unpacking
kmkz edited this page Apr 1, 2013
·
2 revisions
( on le fait en premier lieu en Fr puis on fera la traduction ensuite, ce sera plus simple pour la rédaction)
-
Possibilité d insérer les screens ici meme
#liens utiles:
Environnement: Machine virtuelle REMnux (kernel 3.0.0 - i686), Distribution orienté RE / malware analysis & Forensic.
Type de malware: http://packetstormsecurity.com/files/118317/Linux-2.6-Kernel-proc-Rootkit-Backdoor.html ou simple backdoor nc (reverse shell), strippé (strip -s) et packé a définir ..
Packer: UPX modifié
Tools:
Dans cet article nous allons procéder à l’analyse d’un malware, une reverse shell backdoor précisémment. Pour ce faire commençons par la compilation et aux premiers controles sur le binaire obtenu:
http://packetstormsecurity.com/files/118317/Linux-2.6-Kernel-proc-Rootkit-Backdoor.html rootkit linux (lkm) a packer/installer pour analyser par la suite sur la VM. root@3lRvs:~/Desktop/Articles# gcc -o Give_Root Give_Root.c root@3lRvs:~/Desktop/Articles# strip -s Give_Root root@3lRvs:~/Desktop/Articles# ./Give_Root & [31] 16821 root@3lRvs:~/Desktop/Articles# netstat -tulpn Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:31337 0.0.0.0:* LISTEN 16822/nc root@3lRvs:~/Desktop/Articles# strings Give_Root /lib/ld-linux.so.2 __gmon_start__ libc.so.6 _IO_stdin_used exit wait fork __stack_chk_fail seteuid ptrace __libc_start_main GLIBC_2.4 GLIBC_2.0 PTRh D$|1 T$|e3 [^_] )444 UhfhhlUb root@3lRvs:~/Desktop/Articles# objdump -t Give_Root Give_Root: file format elf32-i386 SYMBOL TABLE: no symbols
Nous voyons bien qu’ici nous n’avons aucuns symboles dans la table, que strings ne nous indique rien d’exploitable quant à l’analyse qui va suivre: parfait!