Упаковщики и крипторы хорошо известны любителям усложнить обратную разработку кода. Для винды таких инструментов целый зоопарк, но в Linux проверенно работает с эльфами под различные платформы лишь UPX. Его используют вирусописатели для упаковки ботов, майнеров и SSH-бэкдоров, а потому заострим на нем внимание и мы.

Распаковка исполняемых файлов — одна из задач, с которыми приходится сталкиваться при реверсе. И если наш объект — это малварь, то зачастую приходится сталкиваться с кастомными упаковщиками. В этой статье я покажу, как справиться с защитными механизмами банкера GootKit, который постоянно развивается, апгрейдится и к тому же использует разные методы сопротивления отладке.

При реверсе вирусов зачастую обнаруживается, что малварь накрыта какой-нибудь «навесной» защитой вроде пакера или протектора. Причем часто используется не общедоступный вариант, а кастомный упаковщик, что серьезно усложняет дело. Я покажу, как быть в такой ситуации, на примере распаковки рансомвари GlobeImposter 2.0, пронесшейся в конце прошлого года.

В прошлых статьях мы узнали, насколько действительно легко взломать и модифицировать приложение для Android. Однако не всегда все бывает так просто. Иногда разработчики применяют обфускаторы и системы шифрования, которые могут существенно осложнить работу реверсера, поэтому сегодня мы поговорим о том, как разобраться в намеренно запутанном коде. И заодно взломаем еще одно приложение.

Мы с Волком давно заметили, что разработка PE-пакеров, крипторов и навесных защит — это почему-то удел немногих. Самого разного рода троянов в инете целая куча, а софта для упаковки и скрытия от антивирусов кот наплакал. При том, что код-то там несложный, просто сорцов в паблике, от которых можно было бы отталкиваться при разработке своего стаффа, как-то не наблюдается. Мы решили исправить эту досадную ситуацию. Сейчас мы расскажем, как написать свой несложный упаковщик исполняемых файлов и научить его паре дерзких приемов.