روت کیت و اندرونیات ویندوز (قسمت اول)

با سلام خدمت همه دوستان.

متاسفانه مشکلات اجازه نمیده که بتونم زود به زود مطالب برای وبلاگ آماده کنم و ازین بابت از شما دوستان پوزش میخوام.

امروز میخام مبحث جدیدی رو شروع کنیم و جلو بریم :

Windows Internal and Rootkit

خوب ما همزمان چندتا مبحث رو جلو خواهیم برد؛ یکیش تحلیل بدافزار (ZeroAccess) , یکیش همین WI&R هستش. البته لابه لای اینها شاید آموزش های دیگری هم داده بشه:)

آنالیز بدافزار ZeroAccess (قسمت سوم)

تابع call ebp :
این تابع دارای چندین حلقه هستش که دایما دارن محتویات رو تغییر میدن و دستورات جدید رو رمزگشایی میکنن و در آدرسی که بعد از این تابع قرار دارد و قرار است به اون jump زده شود قرار می دهند. اگه دستورات آدرس 401018 رو قبل و بعد از این تابع ببینید خواهید دید که کلی دستور جدید تولید شده.

اینکه روش رمزگشایی رو بررسی کنیم توی این مرحله برای ما مهم نیس و ما نیازی به دونستش نداریم. پس این تابع رو با F8 رد میکنیم.

دستور بعد از این تابع یک دستور بی اثر هستش و بعد از اون هم یک پرش.

این همون پرشی هستش که به کدهای رمزگشایی شده انجام میشه.