Crypto in Malware / Reverse Engineering

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Hierdie subafdeling help wanneer jy crypto/compression binne binaries sien en dit vinnig wil herken.

Identifisering van cryptographic / compression algorithms

Tegniek-eerste heuristieke

• Baie shifts/rotates, XORs en 32-bit rekenkunde in stywe lusse.
• Lookup tables (S-boxes) in .data of gegenereer tydens runtime.
• Herhalende lusse van 0x100 iterasies dui op RC4.

Windows crypto/compression APIs

CryptDeriveKey / CryptCreateHash

As hierdie gebruik word, is die tweede parameter ’n ALG_ID:

Table: https://learn.microsoft.com/en-us/windows/win32/seccrypto/alg-id

RtlCompressBuffer / RtlDecompressBuffer

Dit dui dikwels op ingeboude Windows compression (LZNT1, XPRESS, etc).

Konstantes & tables

Soms kan jy ’n hash/cipher vingerafdruk deur konstantes (of die eerste dword van tables) aanlyn te soek.

AES tables voorbeeld:

RC4 recognition notes

RC4 is dikwels herkenbaar aan:

• Twee lusse van 256 iterasies (init + KSA)
• Dan ’n PRGA-lus wat % 256 gebruik en die keystream met data XOR

Unpacking binaries

Tegniek

Packers transform ’n binary sodat static analysis mislei word (junk code, encrypted sections, runtime unpacking). Die doel is om die oomblik te vang wanneer dit:

• allokeer/dekripteer werklike code in memory
• merk dit as executable
• spring daarin

Identifying packed binaries

• Gebrek aan strings (of net packer strings)
• Baie strings sonder xrefs (commercial packers)
• Gebruik packer-ID tools:
• PEiD
• Exeinfo PE

Basiese aanbevelings

• Begin analysis van onder af en werk op; unpackers spring dikwels laat.
• Kyk vir JMP/CALL reg patrone of stack tricks (push addr; retn).
• Stel ’n breakpoint op VirtualAlloc/VirtualProtect en spoor RWX regions.
• ’n Skielike strings-eksplosie na ’n jump dui dikwels aan dat jy unpacked code bereik het.
• Dump memory en herstel headers met tools soos PE-bear.

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.