РАСШИРЕННЫЙ анализ вредоносных программ | Реверс-Инжиниринг | Декомпиляция, Дизассемблирование и отладка (ЧАСТЬ 1)

0:00

Видео обсуждает анализ вредоносного ПО, используя продвинутые тактики и методы.
Рассматриваются четыре основных шага анализа: базовый статический анализ, базовый динамический анализ, расширенный статический анализ и расширенный динамический анализ.

1:41

Видео демонстрирует использование GIDRA для анализа вредоносного ПО.
Рассматриваются различные функции и конструкции кода, такие как циклы, функции и API Windows.

6:51

Видео обсуждает использование API Windows в вредоносных программах для обхода обнаружения.
Рассматриваются наиболее часто используемые API Windows, такие как кейлоггеры, загрузчики, обмен данными, фильтрация данных, дропперы и защита от отладки.

8:38

В видео объясняется, как вредоносный код внедряется в процесс жертвы с помощью API create process.
Процесс приостанавливается, затем в него выделяется память с помощью API virtual alloc ex.
В эту память записывается вредоносный код с помощью API процесса записи в память.
Точка входа процесса модифицируется, чтобы указывать на адрес вредоносного кода.
Процесс возобновляется с помощью API nt resume process.

9:50

В видео демонстрируется анализ вредоносного кода в исполняемом файле с помощью Ghidra.
Ищутся функции, связанные с созданием процесса, и анализируется их использование.
В процессе создания процесса используется API create process a, который создает или открывает существующий файл.
В коде вредоносной программы используются API-вызовы для отмены отображения памяти целевого процесса и выделения памяти с помощью virtual alloc ex.
После выделения памяти вредоносный код записывается в память защищенного процесса с помощью API памяти процесса записи.

Ключевые темы и таймкоды