NAWHACK

Blog d'informatique sécurité et réseaux.



XOR just for fun

Illustration de l'article

Soit un malware avec des serveurs C&C chiffrés, l'objectif est d'extraire des chaines de caractères chiffrées d'un malware. Ces chaines sont des noms de machine DNS de serveur C&C.

Le plus intéressant dans se genre de situation est d'automatiser l'extraction afin d'obtenir les informations simplement.

Extraction d'information du PE

Pour commencer, on va faire parler notre malware : objdump nous indique que le malware appel WS2_32.dll (avec tous ce qui va bien) pour parler avec les C&C.

Lire la suite

0 commentaire

  • le 24/11/2014
  • par Nawhack
  • Avatar