Domanda Modificare la file description di un file

Ordina per data Ordina commenti per reazioni
N

NSteel

Utente Electrum
21 Luglio 2014
131
32
10
110
Buongiorno a tutti,
ho iniziato da poco ad entrare nel mondo del reverse engineering.
Ho imparato come un malware può enumerare i programmi in esecuzione sul PC per rilevare debugger o strumenti di analisi e terminare la propria esecuzione per evitare il rilevamento.
Questo mi porta a chiedermi: se volessi utilizzare una versione modificata di x64dbg per renderla meno identificabile, quale sarebbe il metodo migliore?
Ovviamente, una soluzione semplice potrebbe essere rinominare l'eseguibile, ad esempio da "x64dbg.exe" a "new.exe", in modo che non venga facilmente riconosciuto da Process Explorer o da altri strumenti di monitoraggio. Tuttavia, mi chiedo se esistano altri metodi più avanzati per evitare il rilevamento.
1741439651516.png

La domanda è: questo basta? Se volessi anche cancellare i meta dati come la description come posso fare? Stavo cercando tramite HexEditor la stringa ma non la trovo. Potrei utilizzare resource Hacker per effettuare questa operazione ma vorrei capire com'è possibile che resource hacker riesca a vedere la stringa mentre l'HexEditor no? Come viene codificata all'interno di HexEditor?
1741440360555.png

1741440335362.png

In questo modo si riesce a bypassare l'enumerazione del tool da parte di un possibile malware?

Grazie a chiunque risponda.
 

Allegati

  • 1741439706926.png
    1741439706926.png
    14.3 KB · Visualizzazioni: 1
NSteel ha detto:
Qualcuno che può essermi d’aiuto??
Clicca per espandere...
Provato a cercare con la codifica del testo "UTF-16"?

Puoi fare tantissime cose con Hex Editor studiaci sopra e imparerai tante cose anche come bypassare i controlli e check dei file dll e .exe

P.s. Ti consiglio di modificare anche qualche ".dll" a tempo perso, perchè li capirai altre cose.
 
  • Mi piace
Reazioni: NSteel
hck2009 ha detto:
Provato a cercare con la codifica del testo "UTF-16"?

Puoi fare tantissime cose con Hex Editor studiaci sopra e imparerai tante cose anche come bypassare i controlli e check dei file dll e .exe

P.s. Ti consiglio di modificare anche qualche ".dll" a tempo perso, perchè li capirai altre cose.
Clicca per espandere...
Grazie del consiglio!
Ci proverò sicuramente
 
Il testo che cerchi è UTF-16 Little-Endian, si trova in RT_VERSIONINFO, una risorsa del PE. Per aggiornare quei campi con valori arbitrari va supportato il formato corretto e aggiornata la risorsa (tramite API UpdateResource o andando a mettere mano tra header e .rsrc). Però se il tuo obiettivo è solo rinominarlo per non farlo riconoscere va bene un hex editor purché rispetti la stessa lunghezza delle stringhe già presenti.

Tuttavia non è sufficiente per non essere rilevati, ci sono moltissimi metodi anti-debug, banalmente potrebbe anche cercare il titolo della finestra o chiamare delle API di sistema che riguardano il debugging e che possono tradire la presenza del debugger in generale o dei breakpoint. Per approfondire ti consiglio il plugin per x64dbg ScyllaHide che implementa diversi hook e meccanismi per nascondere la propria presenza al software debuggato, ma considera che anche questo non è infallibile.
 
  • Mi piace
Reazioni: hck2009
Top Bottom
Indietro