Nanoav изнутри

Пару дней назад, на сайте ксакепа, под меткой “СПЕЦПРОЕКТ” появилась определённо не проплаченная реклама сабжа. Давайте же на него взглянем!

Пару слов про тесты

nano comm

Комментарии доставляют

Конечно жалко, что ксакеп давно не публиковал настоящие тесты, заменив их рекламой касперского.

avtest

Примерно так должны выглядеть нормальные тесты

Статик анализ

В хекс редакторе легко заметить, что любой файл нашпигован отладочными сообщениями с путями до исходников:

Выдернем все строчки из файлов и посмотрим что внутри:

Что мы видим после парсинга? Все строчки хранятся в открытом виде! Среди них можно встретить python-скрипты, отладочные сообщения и тд.

В файле “nanosvc.exe” строка “emul” встречается 64 раза, очевидно в этом сервисе и прячется сканер.

Особенный интерес вызывают строки вроде “.?AVIMultiscanContainer@Scan@AVX@@”, вы могли видеть нечто подобное в экспорте c++ библиотек. Но откуда они взялись? Оказывается, компилятор генерирует их для совместимости, а строки обозначают имена виртуальных классов и их потомков.

Для IDA PRO есть замечательный плагин ClassInformer, отображающий их в читаемом виде. А при клике по имени можно увидеть ссылки на методы! Среди классов есть много интересного:

unpacker

Классы для снятия известных пакеров

emul_str

Строчки конкретного файла можно посмотреть и в иде

archive

Парсинг архивов

script

Парсинг скриптов

emul

Эмуляторы Dos\Win\JS

Satan inside

Для всех кто захочет полюбоваться самостоятельно прикладываю nanosvc.exe =)

Добавить комментарий