Packed Malware Detection & Unpacking

xzh

Üye
8 Nis 2020
193
57

Packed Malware Detection​

- Malware authors often seek to protect their creations from anti-malware products and from the tools that analysts use to examine malicious programs. They often accomplish this by using tools known as packers.
  • Packers are tools that compress, obfuscate, encrypt, or otherwise encode the original code
  • The packed program decodes the code into memory when it runs
  • This safeguards the specimen from static analysis techniques
  • Packed programs are also difficult to disassemble and debug
  • Not all malware is packed
- Malware authors have many options for packing executables

UPX — Ultimate Packer for eXecutables

  • open source and common and simpler to open.
- Now let’s see how we can detect that there is an upx packer in your file.Let’s open our file in PeStudio

1*PzVlCCfJ1DLTWbZWL1CKRA.png


- Then we click on the section tab from the application tabs.

1*mao_-wDHnJF2AgV8EN_V0g.png


- As you can see, it indicates that our PeStudio file is packed on the UPX packer side.

- Another way to assess the likelihood that a Windows executable might be packed is to examine the distribution of the file’s byte values. One tool that enables you to do this in a visual manner is Bytehist.Now we can try this
- Bytehist generates byte-usage histograms, showing you the frequency with which each byte value occurs in the file.

Command : bytehist alixan.exe

1*JabwqFINn0uXzAYzuNVmVQ.png
1*Qa0ngdyqwRiOrwtVf3IpcA.png



 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.