[QuickNote] MountLocker – Some pseudo-code snippets

Refs:

• https://threatpost.com/mount-locker-ransomware-changes-tactics/165559/
• https://chuongdong.com/reverse%20engineering/2021/05/23/MountLockerRansomware/
• https://github.com/Finch4/Malware-Analysis-Reports/tree/master/MountLocker

---

• Parse RecoveryManual.html content in memory and fill %CLIENT_ID%:

 // Generate CLIENT_ID
  for ( client_id_pos = StrStrIA(psz_recovery_manual_ransom_note, "%CLIENT_ID%");
        client_id_pos;
        client_id_pos = StrStrIA(psz_recovery_manual_ransom_note, "%CLIENT_ID%") )
  {
    cnt = 32i64;
    client_id_str = g_str_879538e20b82e80052dd5f7ef9ad5077;
    // replace %CLIENT_ID% with generated client_id
    // first 32 bytes is "879538e20b82e80052dd5f7ef9ad5077"
    // and the rest 32 bytes is random value
    do
    {
      client_id_str[client_id_pos - g_str_879538e20b82e80052dd5f7ef9ad5077] = *client_id_str;
      ++client_id_str;
      --cnt;
    }
    while ( cnt );
    ptr_curr_pos = client_id_pos + 32;
    for ( j = 0i64; j < 16; ++j )
    {
      *ptr_curr_pos = str_0123456789abcdef[(unsigned __int64)(unsigned __int8)szComputerName[j] >> 4];
      ptr_next_pos = ptr_curr_pos + 1;
      ch_ = szComputerName[j];
      *ptr_next_pos = str_0123456789abcdef[ch_ & 0xF];
      ptr_curr_pos = ptr_next_pos + 1;
    }
  }

(more…)

“Heaven’s Gate” Một kĩ thuật cũ nhưng hiệu quả

As part of my work at Vincss, I wrote an article about ““Heaven’s Gate” An old technique but still effective “.

“Heaven’s Gate” is the common name of a technique that allows 32-bit binary to execute 64-bit instructions without following the standard processing flow on the environment (Windows 32-bit on Windows 64-bit) WoW64. You can read here.

Watch Your Hack V6.1

Bạn từng lo lắng trong số những người bạn của mình có thể đã chiếm tài khoản Facebook của bạn? Rằng máy tính của bạn hiện đang bị giữ làm con tin bởi một loại mã độc tống tiền (ransomware)? Hoặc là các tin tặc (hackers) đang chiếm giữ tài khoản ngân hàng của bạn?

Bài hướng dẫn này được ví như là một cuốn cẩm nang dành cho những người sử dụng thông thường, nó sẽ giải thích một cách dễ hiểu nhất cho các bạn cách làm thế nào để bảo vệ mình khỏi các hacker. Các hướng dẫn này được xây dựng dưới sự giúp đỡ của 6 hacker chuyên nghiệp  (thông tin của họ được nêu ở phần đầu bài viết).

Tài liệu này không đảm bảo bạn sẽ an toàn một cách tuyệt đối. Điều đó không tồn tại với môi trường Internet. Tuy nhiên, bằng cách áp dụng các mẹo trong bài viết này, bạn có thể khiến cho các hacker và virus gặp khó khăn hơn rất nhiều khi có ý định chọn bạn làm mục tiêu tấn công.

Trước khi chúng ta bắt đầu: các bạn đừng cảm thấy lo sợ khi ngồi trước máy tính của mình. Cơ hội để các hacker nhắm mục tiêu vào bạn thực sự là rất nhỏ. Hầu hết các mối nguy hiểm đều xuất phát từ thực tế là nhiều người dùng thiếu kiến thức chung về internet và máy tính, nơi mà từ đó bạn có thể bị khai thác. Vì vậy, hãy kiện toàn chính mình bằng các thông tin quan trọng nhất được đề cập trong bài viết này.

Download toàn bộ hướng dẫn tại đây:

Link: https://mega.nz/#!7C5yWKgJ!1LdSSipfBr5jE15ty_E0AO2W_rNwYAi9yP4XUiC91Qk

Regards,

m4n0w4r

CodeBreakers Magazine Collections

Hôm nay, lục lại đống CD cũ, tìm thấy bộ sưu tập các bài viết trên CodeBreakers-Journal và CodeBreakers Magazine từ những năm 2003. Share lại lên đây coi như là kỉ niệm và để anh em download về đọc cho vui 🙂

CBJ_1_1_2004_Adding Imports by Hand.rar
CBJ_1_1_2004_Dracon_Adding_functions_to_any_program_using_a_DLL.pdf
CBJ_1_1_2004_Geddon_XP_SVCHOST_Reversed.pdf
CBJ_1_1_2004_Opic_Introductory_Primer_To_Polymorphism.pdf
CBJ_1_1_2004_Reverse_Engineering_the_Service_Control_Manager.pdf
CBJ_1_1_2006_Abril_VX_Reversing_II.pdf
CBJ_1_1_2007_Desnoyers_Tracing_for_Hardware.pdf
CBJ_1_1_2007_Mokbel_RCE_Profiling_Counterbalancing_the_Algo.this.Key.zip
CBJ_1_2_2004-Minesweeper Reversing.pdf
CBJ_1_2_2004_Biv_Replication_from_data_files.pdf
CBJ_1_2_2004_HolyFather_Hooking_Windows_API.pdf
CBJ_1_2_2004_HolyFather_UnseenNT.pdf
CBJ_1_2_2006_Kruse_Processless_Threads.pdf
CBJ_1_2_Abril_AsProtected_Notepad.pdf
CBJ_1_2_Abril_Unpacking_by_Code_Injection.pdf
CBJ_2_1_2005_Abril_VX_Reversing_III.pdf
CBJ_2_1_2005_Brulez_Scan33.zip
CBJ_2_1_2005_Nigurrath_Oraculumn.zip
CBJ_2_1_2005_Salihun_Embedded.pdf
CBJ_2_1_2005_Wang_Crypto.pdf
CBM_1_1_2006_Coding Smart and Dynamic Code.pdf
CBM_1_2_2006_Beginners Guide to Basic Linux Anti Anti Debugging Techniques.pdf
CBM_1_2_2006_Everything is Byte.pdf
CBM_1_2_2006_Examining Viruses.pdf
CBM_1_2_2006_Guide on how to play with processes memory.rar
CBM_1_2_2006_How to Write Your Own Packer.pdf
CBM_1_2_2006_Processless Applications.pdf
CBM_1_2_2006_Reverse Engineering Backdoored Binaries.pdf
CBM_1_2_2006_Reversing a Simple Virtual Machine.pdf
CBM_1_2_2006_Self Modifying Code.pdf
CBM_1_2_2006_Sharepad.pdf
CBM_3_1_2006_Webbit_Keygen_Injection.zip
Codebreakers-issue1-2003.zip
Codebreakers-issue2-2003.zip

Download here:
https://mega.nz/#!W41EHBoL!xxs8KvIVqGhm-V1m7f3aHGXw8atkag9fmMxpVTNzDgY

Regards,
m4n0w4r

CRACKING BẰNG PHƯƠNG PHÁP DÙNG POINT-H

Đây là một tutor của anh Moonbaby viết vào quãng năm 2005.

I – Giới thiệu

1. Tổng Quát :

• Phương pháp này được Ricardo Narvaja giới thiệu vào 22.Dec.2002  . Phương pháp này được sử dụng cho hệ thống OllyDbg – WindowsXP để xác định một điểm đặc biệt mà ta sẽ gọi là điểm H ( Point-H) có cách thức làm việc tương tự như hàm API Hmemcpy trong Windows98 . Quá trình này sẽ giúp ta xác định địa chỉ lưu trữ Name hay Serial khi thực thi một BreakPoint tại Point-H .
• Đối với những ai đã từng sử dụng SoftIce trong thời kỳ đầu, chắc hẳn sẽ hiểu rõ tầm quan trọng của hàm API Hmemcpy .
• Khác với phương pháp STACK, phương pháp này không giúp ta xác định đoạn code mã hoá chính mã chỉ giúp ta xác định đoạn code xử lý chuỗi nhập .

2. Những điểm cần lưu ý :

– Point-H khác nhau trên từng máy tính, và tồn tại trong thư viện USER32.DLL . Tuy nhiên, một khi bạn đã tìm được Point-H trên máy tính của mình thì bạn có thể áp dụng cho bất kỳ loại ngôn ngữ nào mà chương trình sử dụng ( Visual C++, Visual Basic , Borland Delphi, MASM32 / TASM32 … ) .

– Phương pháp này dựa trên hàm API TranslateMessage nên trước khi bạn có ý định sử dụng phương pháp này nên tìm hiểu xem chương trình có sử dụng hàm này hay không ( các chương trình viết bằng Visual Basic có thể không sử dụng hàm này ) . Trên cơ bản mà nói, phương pháp này có ưu thế hơn cho các chương trình được viết bằng Visual C hay MASM32 / TASM32 hơn là các chương trình được viết bằng Visual Basic , Borland Delphi .

– Cũng như phương pháp STACK đã được đề cập trước đây, đây không phải là một phương pháp tối ưu cho mọi trường hợp, bạn chỉ nên xem đây là một trong những sự lựa chọn mà thôi .

– Phương pháp này thực sự có hiệu quả khi và chỉ khi sau khi bạn nhập các thông số Name và/hoặc Serial và nhấn nút đăng ký mà không xuất hiện bất cứ thông báo hay sự kiện nào .

– Trong nhiều trường hợp, phương pháp này sẽ cho ngay Serial tương ứng với Name nhập trong khi đó việc tìm kiếm đoạn code mã hoá lại là chuyện vô cùng phức tạp .

– Một điểm đặc biệt cần lưu ý, phương pháp này không trực tiếp giúp ta xác định đoạn code mã hoá chính của chương trình mà chỉ xác định đoạn code khi chuỗi nhập vào bắt đầu được xử lý . Từ đó, dựa vào khả năng và kinh nghiệm của bản thân, ta xác định đâu là đoạn code mã hoá cần quan tâm .

– Đồng thời, do đặc điểm của phương pháp chỉ thực hiện được khi chương trình thực hiện quá trình xử lý chuỗi nên nếu trong trường hợp chuỗi nhập vào được yêu cầu thoả mãn một vài điều kiện trước khi tiến hành quá trình xử lý thì phương pháp này hoàn toàn không thể áp dụng . Ví dụ chương trình yêu cầu chiều dài chuỗi phải là 16 ký tự, nhưng bạn chỉ nhập 10 hay không đúng 16 ký tự thì chương trình sẽ thoát ra mà không tiến hành quá trình xử lý- vì thế phương pháp Point-H có thể không giúp bạn xác định được đoạn code xử lý chuỗi .

Download toàn bộ bài viết tại đây: http://www11.zippyshare.com/v/7264624/file.html

Regards,
m4n0w4r