Содержание статьи
Мы продолжим работу, начатую в моей прошлой статье, где мы начали реверсить Agent Tesla и вытащили шелл‑код из инсталлятора NSIS.
Загружаем шелл-код в дизассемблер
В прошлый раз мы договорились использовать Ghidra, продолжим традицию и в этой статье. Итак, загружаем файл c шелл‑кодом в дизассемблер и видим, что начало шелл‑кода не дизассемблировалось: перед нами просто необработанные байты. Это не нужно игнорировать, потому что неправильное начало анализа может поломать кучу остального проанализированного кода.
![Результат загрузки шелл-кода, первые байты не дизассемблировались Результат загрузки шелл-кода, первые байты не дизассемблировались](https://static.xakep.ru/images/310661c5c54d54308602d4aa9011527d/36156/1.png)
Не страшно, просто ставим курсор на начало байтовой строки и выбираем в контекстном меню Disassemble, дальше Ghidra сделает все за нас.
![Исправили дизасм шелл-кода Исправили дизасм шелл-кода](https://static.xakep.ru/images/310661c5c54d54308602d4aa9011527d/36155/2.png)
После того как привели анализ в порядок, видим с самого начала шелл‑кода переход в функцию. Идем в нее и смотрим в начало — там видим портянку кода, где данные помещаются на стек. Приводим эти данные в удобочитаемый вид (приводим числа в char в контекстном меню), видим появившееся название файла djdqvq.
. Вспоминаем, что это один из трех файлов, которые находились в NSIS-инсталляторе. Стало быть, шелл‑код работает с этим файлом.
![Шелл-код работает с djdqvq.sra Шелл-код работает с djdqvq.sra](https://static.xakep.ru/images/310661c5c54d54308602d4aa9011527d/36154/3.png)
Интересно, что будет, если загрузить этот файл в DiE? Инструмент не определил ровным счетом ничего, но на вкладке энтропии можно увидеть картину, характерную для сплошного шифротекста.
![Энтропия djdqvq.sra Энтропия djdqvq.sra](https://static.xakep.ru/images/310661c5c54d54308602d4aa9011527d/36160/5.png)
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее