Category Archives: RE

(English) Fake "Police Trojan" analysis

Posted on July 13, 2012 by Icewall

For some time the “virus of the police” has become an epidemic across Europe. Currently a variant of the first sample, found during summer of 2011, is infecting Windows operating system users. It blocked the system on startup, with a … Continue reading →

Posted in Analiza, Malware, RE | Leave a comment

Reversowanie BHO

Posted on January 28, 2012 by Icewall

Od dawien dawna po dzień dzisiejszy (BHO wpierane jest od IE 4.0) autorzy malware’u wykorzystują funkcjonalność jaką dostarcza im BHO do znęcania się nad użytkownikami IE. Przeważnie złośliwe BHO posiada dwie kluczowe funkcjonalności (na pewno w przypadku banker’a) : – … Continue reading →

Posted in Aplikacja, Malware, RE | Tagged _ATL_EVENT_ENTRY, bho, html code injection, invoke, Iwebbrowser, Malware, post dump | 6 Comments

Gwiazdka w nazwach plików i folderów ?

Posted on November 17, 2011 by Icewall

Czy to w ogóle możliwe ? Okazuje się, że tak. Na możliwość tworzenia nazw plików czy folderów zawierających gwiazdkę wpadłem przez przypadek, czytając wybrane fragmenty driver’a NTFS robiąc research odnośnie długich ścieżek pod Windows’em. [ Gdzie kryje się sekret? ] … Continue reading →

Posted in Analiza, RE | Tagged asterisk in filename, ntfs, NtfsIsFileNameValid, wildcard w nazwie | Leave a comment

Szkolenia – Reverse Engineering i Analiza Malware’u

Posted on February 16, 2011 by Icewall

Tak tak szkolenia czas zacząć !!! 😉 Już jakiś rok temu razem z Gynvael’em wpadliśmy na pomysł organizowania szkoleń w Polsce. Z głosów, które do nas docierały wynikało, że spora liczba osób jest zainteresowana tematyką RE czy pentestingiem. Był już … Continue reading →

Posted in Malware, RE | Tagged analiza malware szkolenie, cracking szkolenia, Reverse engineering szkolenia, szkolenia, szkolenia RE, wirusy szkolenia | 2 Comments

NameChanger ver 1.0 – OllyDbg plugin

Posted on November 12, 2010 by Icewall

Ostatnio powróciłem do dawno porzuconego pomysłu stworzenia pluginu dla Olka, który będzie dostarczał podobną funkcjonalność odnośnie zmiany nazwy/wartości m.in funkcji czy stałej jak IDA. Myślę, że najlepiej jego zastosowanie i funkcjonalność przedstawić w akcji: [+]Sposób użycia Powiedzmy, żę chcemy zmienić … Continue reading →

Posted in Aplikacja, RE | Tagged change call name ollydbg, NameChanger, ollydbg | 9 Comments

Maksymalna długość ścieżki pod Windows’em

Posted on October 15, 2010 by Icewall

Być może jesteś jedną z osób, która do tego momentu wierzyła, że maksymalna długością ścieżki, jaką może ona osiągnąć pod Windows’em jest określona przez MAX_PATH ( 256 znaków ). NIC BARDZIEJ MYLNEGO!!!! W dokumencie, który możecie pobrać poniżej opisałem m.in: … Continue reading →

Posted in Analiza, Bez kategorii, RE, Security | Tagged długa ścieżka, extended path, gmer, longpath, MAX_PATH, nie wykrywalny plik, oszukanie antywirusów, testy antywirusów | 14 Comments

IFEO, czyli Image File Execution Option

Posted on October 1, 2010 by Icewall

Przyglądając się ostatnio dokładnie procedurze tworzenia nowego procesu w systemie, natchnąłem się na IMO dość mało popularną funkcjonalność, jaką jest „Image File Execution Options”(IFEO) . Jej konfiguracji dokonujemy poprzez modyfikacje kluczy w następującej gałęzi rejestru: Jakie możliwości daje nam ta … Continue reading →

Posted in RE, Security | Tagged IFEO, Image File Execution Option, proces dziecko | 6 Comments

Błąd logiczny w GMER

Posted on July 22, 2010 by Icewall

Przy okazji badań opisanych w ostatnim poście, odkryłem w sterowniku gmer’a pewien błąd logiczny mogący powodować nieprawidłowe działanie losowych aplikacji. Żeby przybliżyć sobie kwestię, o której będę pisał polecam zajrzeć do punktu drugiego poprzedniego postu, a dokładnie do implementacji rozwiązanie … Continue reading →

Posted in Analiza, RE | Tagged błąd gmer, bug in gmer, dobre praktyki, gmer, IoQueryFileDosDeviceName | Leave a comment

Tochę o usuwaniu plików

Posted on July 21, 2010 by Icewall

Jakiś czas temu zainteresowałem się kwestią sposobów usuwania plików, a raczej możliwościami wywołania takiego procesu w „trudnych przypadkach”. Co mam na myśli mówiąc „trudne przypadki” : 1. Zabicie procesu malware’u i próba usunięcia jego pliku wykonywalnego jest utrudniona z tego … Continue reading →

Posted in Analiza, Aplikacja, RE | Tagged bagle, ddk, DuplicateHandle, gmer, Malware, ntfs hooking, NtfsFsdCreate, odmowa dostępu, usunięcie pliku, windows driver, ZwQuerySystemInformation | 5 Comments

Opera – Null Pointer Dereference

Posted on May 14, 2010 by Icewall

Ahh… sporo czasu upłynęło od ostatniego wpisu, lecz bez wdawania się w szczegóły chciałem uspokoić, że prac nad tworzeniem tego blogu nie porzuciłem i w miarę możliwości będą się tu pojawiały nowe wpisy ;). A teraz do rzeczy…Tak jak w … Continue reading →

Posted in Analiza, RE, Security | Tagged bug, fuzzing, null pointer dereference, opera | Leave a comment