iLewis ha scritto:
Ciao,
sto cercando un malware dentro firefox, so per certo che c'è ma non so dov'è.
Ho fatto un dump dell'eseguibile a runtime e stavo pensando di darci un occhio. Ma ovviamente non sono molto ferrato di assembly quindi vorrei una mano. Per esempio stavo pensando di settare dei bp su tutte le syscall che inviano dati all'esterno.
1) Secondo voi si puo' fare ?
2) e soprattutto come ?
1) Certamente: SI PUO' FARE!
2) con gli opportuni tool per disassemblare un eeguibile, sapendo cosa cercare e come cercare.
Nota:
TEAM di gente ULTRACOMPETENTE, con le ""contro-p"", SPECIALIZZATA SPECIFICATAMENTE in questo tipo di problemi, con DECINE D'ANNI di esperienza ha realizzato software SPECIFICI (gli antivirus, antimailware, anti rootkit, ...)
Tu, SENZA NE ARTE NE PARTE pensi di riuscirci?
***
Ma giusto per smontare alcune osservazioni:
1) sto cercando un malware dentro firefox, so per certo che c'è ma non so dov'è.
2) No, la mia ipotesi è che venga iniettato o da un altro processo o dal kernel stesso
Ci sono due casi possibili:
c'e' un processo (NEMMENO visibile nella lista di processi, perche' se c'e' ed e' visibile, magari si riescie ad identificarlo dal nome e dal path ""strano"" del file exe associato, stesso ragionamento se e' una DLL registrata in qualche processo che prevede dei plugins) che inietta il codice in qualche file .exe/.dll/ quando l'applicazione NON E' IN ESECUZIONE (perche' quando e' in esecuzione, NESSUNO ci puo' mettere le mani - questo e' un requirement di Windows al livello piu' basso)
A) Questo si risolve facilmente: basta togliere i diritti di scrttura a TUTTI, e magari cambiare l'owner del file e mettere un utente creato ad hoc.
B) basta confrontare byte/byte il contenuto dell'installazione di firefox con una fatta su una macchina considerata pulita. Se ci sono delle differenze, in base al file, puo' essere solo legato all'installazione diversa O un segnale di qualcosa di strano.
se viene fatto in fase di esecuzione, allora viene fatto dal sistema operativo stesso, QUINDI e' IL SISTEMA OPERATIVO STESSO AD ESSERE STATO COMPROMESSO. In questo caso c'e' solo una soluzione, anzi DUE
1) FORMATTARE il disco e reinstallare tutto da zero
2) SE il virus si e' installato nel boot record, che non viene formattato, CAMBIARE ANCHE DISCO.
Io non mi fiderei di nulla di meno che di una PULIZIA TOTALE E DEFINITIVA.