2

私はマルウェアであると思われるコードを逆コンパイルしており、それが何をするのかを理解しようとしています。特定のウィンドウ タイトルを検索し、そのウィンドウの名前を使用して残りの命令をデコードします。一般的なウィンドウ タイトル (メモ帳、Document1 - Microsoft Word など) のリストを実行して、適切なウィンドウ タイトルを見つけようとしました。

Python で使用するハッシュを書き直しました。

def encode( inStr ):
  a = 0x133F00D
  i = 0

  for j in inStr:
    temp = ord(j)*8 * ((i << 0xC)+1)
    a = a^ temp
    i = i + 1
  print hex(a)

値が 0x2227205 になる文字列を探しています。ハッシュ関数を見ると、一方通行で衝突しているように見えます。取得しようとしているウィンドウのタイトルを見つける良い方法は何ですか? マルウェア防止サイトに一般的なウィンドウ タイトルのリストはありますか? 辞書攻撃を実行する必要がありますか? 最善のアプローチは何ですか?

4

1 に答える 1

0

ウィンドウのタイトルが十分に長い場合、ブルートフォース攻撃でそれを見つけることはできず、おそらくハッシュに一致するタイトルを見つけるのに役立つことさえありません。マルウェアは、それ自体の別のインスタンスがあるかどうかを確認するだけで済みます。

デバッガーを使用して、VMまたはさらに優れた専用コンピューター(おそらくネットワークがない、またはアクティビティをチェックするための偽のネットワークがない)でマルウェアを実行することをお勧めします。次に、そこにハッシュに一致するウィンドウが見つかるかどうかを確認できます。

そのPythonコードに固執する場合は、マルウェアと同じオーバーフロー動作(特に同じ長さの整数)があることを確認してください。

于 2011-12-08T08:28:25.963 に答える