Archive for March, 2010

Mass Malware Analysis – A Do It Yourself Kit

Author:  Christian Wojner

Author email: Wojner©

Author website :

Description This paper outlines the relevant steps to build up a customizable automated malware analysis station by using only freely available components with the exception of the target OS (Windows XP) itself. Further a special focus lies in handling a huge amount of malware samples and the actual implementation at As primary goal the reader of this paper should be able to build up her own specific installation and configuration while being free in her decision which components to use.

The first part of this document will cover all the theoretical, strategic and methodological aspects. The second part is focusing on the practical aspects by diving into’s automated malware analysis station closing with an easy to follow step-by-step tutorial, how to build up’s implementation for your own use. So feel free to skip parts.

Filesize : 836.66 kB

Download here :

TLS Callback in VC++

Tác giả  : Benina (REA)

Kỹ thuật này được các tay viết virus và các nhà phát triển phần mềm protector ứng dụng tối đa. Nó xuất hiện lần đầu tiên trong một bài viết của roy g biv nhóm 29a rất nổi tiếng vào khoảng năm 2003. Hiện nay lão ta đã 31 tuổi, và đang playing trong EOF team. Trong bài viết này roy g biv có public source code của con virus có tên là W32.Shrug. Sau đó không lâu kỹ thuật này được các tay viết virus “đưa vào thực tế” gây ảnh hưởng xấu cho cộng đồng. Đó là mặt trái của TLS Callback.

Một ứng dụng có ích của nó đã được các protecter áp dụng rất hiệu quả. Nó được ứng dụng trong protector rất nổi tiếng ExeCrytor để chống lại các cr*cker. Nhưng không bao lâu các cr*cker đã đánh bại nó. Một trong số đó là deroko bên ARTeam. Vào tiếp theo là hàng loạt tool, tut về kỹ thuật này.

Vào năm 2008, lúc tôi mới vào chơi trong 4rum vnvirus, lúc đó tôi hoàn toàn chưa biết kỹ thuật này đã “đưa vào thực tế” trong lĩnh vực virus. Do đó tôi có coding thử một virus và đã pulbic demo cho anh em nghiên cứu. Ít lâu sau NhatPhuongLe cũng có viết một bài về đề tài này. Nhưng chỉ dừng lại ở bypass khi cr*cking. Một số bạn có hỏi tôi về kỹ thuật này khi biên dịch trong VC++. Nhưng lúc đó tôi chỉ coding trong tasm32 nên không quan tâm đến câu hỏi. Hôm nay tôi sẽ trình bày tương đối cho các bạn khi lập trình TLS Callback trong VC++.

Download here:

Delphi Decompiler

Author: BitMaker

Author email: bitmaker©

Description Delphi Decompiler can analyze executables compiled with Delphi 2 to 7 giving you; all DFM files of the target,

commented ASM code with references to strings, imported function calls, classes methods calls, components in the unit, Try-Except and Try-Finally blocks.

Note, this is a rewrite of the original DeDe. Changes and updates include:

+ Updated the DSF Editor

* Fixed loss of DSF editor when parsing

+ In DSF editor adds support for Delphi 2007, 2009, 2010 (so far works only for parsing. Bpl)

* Optimized code for rendering assembly code

* Full reconstruction project to accelerate work on a batch of assemblies and the subsequent testing

+ Updated the PE Editor

+ Improved the window “Options”

+ Added ability to change fonts:

– In the DFM Editor

– Lists ListView

– In disassembler

* Reduced the delay timer on the window screen saver

* Fixed a PE editor

+ Added saving of projects Delphi 2007

+ Added saving of projects Delphi 2009

+ Added saving of projects Delphi 2010

+ Rewritten engine decompilation DCU

+ Rewrote the analysis engine EXE

+ New format doi and dsf

+ Completely changed interface

+ Ability to fully maintain the project (full load project being finalized)

+ Full support for programs written in Delphi 2 – 7

Download here:

Hi all,

it’s time for a new interesting tutorial, this time SSlEvIN took time for a journey into manual unpacking, fixing imports of PE Compact. This is a beginners tutorial, but he also got time to add an audio track with his voice narrating the story..I think it’s a valuable product and as usual an interesting instrument for beginners as well for trained reversers. One thing probably not everyone knows is also the proper usage of Load/Save Tree buttons in ImpREC..

Get it here