Verschiedene Möglichkeiten, Packer Ldpinch Eine Malware Zu Reparieren

Kürzlich glaubten einige unserer Leser, auf die ldpinch-Packager-Malware gestoßen zu sein.

Beschleunigen Sie Ihren PC mit nur wenigen Klicks

  • 1. Laden Sie ASR Pro herunter und installieren Sie es
  • 2. Öffnen Sie die Anwendung und klicken Sie auf die Schaltfläche „Scannen“
  • 3. Wählen Sie die Dateien oder Ordner aus, die Sie wiederherstellen möchten, und klicken Sie auf die Schaltfläche Wiederherstellen
  • Laden Sie diese Software jetzt herunter und verabschieden Sie sich von Ihren Computerproblemen.

    Packer werden häufig von Malware-Autoren verwendet, um das Lesen zu verhindern. In unserem neuesten TechBlog-Artikel werden normalerweise Green Bay Packers behandelt, wie sie funktionieren und wie Malware entpackt wird, ohne sie auszuführen.

    packer malware ldpinch a

    Um unsere Zustimmung zu versprechen, machen wir einen unglaublich großen Sprung zum CODE-Teil, indem wir in genau diesem Kommentarfeld darauf doppelklicken. Ihnen sollten jetzt ein paar Sprünge bewusst werden, die vielen vielleicht gar nicht auffallen. Direkt nach Sprüngen sollten Funktionsdirektiven ausgeführt werden, obwohl es stattdessen im Allgemeinen viele Assembler-Anweisungen gibt, die niemals in dieser Auswahl erscheinen sollten, und sogar einige ungültige Veröffentlichungen. Dies ist normalerweise für komprimierten Code verfügbar. Der Disassembler tut sein Bestes, um die Maschinenregel in lesbare Assembleranweisungen zu zerlegen, aber in diesem Fall ist die Ausgabe möglicherweise ungültig oder einfach falsch. Dies bestätigt unseren Verdacht, dass die CODE-Platzierung umgebrochen ist.

    Wenn wir eine Routine verwenden, um Ihnen mit der Ldpinch-Binärdatei zu helfen, erhalten wir am Ende eine brandneue Art von entpackter Version einer neuen Malware. . Vergleichen Sie, weil Sie vor dem Herunterladen zusätzlich nach dem Entpacken die verfügbare CODE-Sektion ansehen.
    Es ist leicht festzustellen, dass die Regel in der CODE-Sektion, die früher zweifellos Kauderwelsch war, jetzt gelesen wird. Wir haben unser Ziel erreicht, die Ldpinch-Malware mit einem Noise Extractor abzurufen. Die Malware-bezogene Funktionalität kann jetzt möglicherweise zurückentwickelt werden.
    Der vollständige Computer, der derzeit für den Entpacker verfügbar ist, kann leicht auf unserer Github-Blower-Seite gefunden werden: Ldpinch Unpacker Code

    Packer werden häufig von Spyware-Autoren verwendet, um den Inhalt einer Binärdatei zu verbergen.

    Was ist Ldpinch?

    Ldpinch ist ein einzelner uralter Trojaner, der Informationen stiehlt und versucht, die Anmeldeinformationen zu stehlen, die zum Ausführen verschiedener Anwendungen auf dem Computer der Person erforderlich sind. Die Malware läuft auf 32-Bit-Windows-Systemen und ist eine eigenständige ausführbare Standarddatei (Portable Executable, PE).

    Dekomprimieren? Warum

    Wie die meisten bösartigen Software ist Ldpinch auf eine so wichtige Weise verpackt, dass sein Reverse Engineering und einfache manuelle Analyse schwierig sind. In einer absolut “komprimierten” Datei ist die Assembleranleitung des Benutzers, die beschreibt, wie das Programm funktioniert, zweifellos nicht gleichzeitig in einer neuen In-Memory-Binärdatei verfügbar. Wenn sich die Malware stattdessen tatsächlich im geladenen Speicher befindet, entschlüsselt der Dekompressor die tatsächlich verschlüsselten Anweisungen, damit ein bestimmter Prozessor sie ausführen kann. Wenn der richtige Spyware-Analyst Elektrotechnik-Malware rückgängig machen will, muss er sie zunächst entpacken und verstehen. Andernfalls sollte jeder Disassembler nur bedeutungslosen Kauderwelsch produzieren.

    Zum Entpacken von Ldpinch

    Beschleunigen Sie Ihren PC mit nur wenigen Klicks

    Läuft Ihr Computer langsam und instabil? Sie werden von mysteriösen Fehlern geplagt und sind besorgt über Datenverlust oder Hardwarefehler? Dann brauchen Sie ASR Pro – die ultimative Software zur Behebung von Windows-Problemen. Mit ASR Pro können Sie eine Vielzahl von Problemen mit nur wenigen Klicks beheben, einschließlich des gefürchteten Blue Screen of Death. Die Anwendung erkennt auch abstürzende Anwendungen und Dateien, sodass Sie deren Probleme schnell lösen können. Und das Beste: Es ist völlig kostenlos! Warten Sie also nicht – laden Sie ASR Pro jetzt herunter und genießen Sie ein reibungsloses, stabiles und fehlerfreies PC-Erlebnis.


    An dieser Stelle werden wir sehen, wie Ldpinch intern statisch dekomprimiert werden kann, sodass normalerweise die Assembler-Anweisung über dem eigentlichen Disassembler sichtbar ist. Los

    Wir verwenden Cutter Returning, um Malware-freie Proben zurückzuentwickeln. Cutter ist eine völlig kostenlose und einfache Open-Source-Anwendung zum Zerlegen und Rückbauen, die auf dem Radare2-Change-Engineering-Paket basiert.

    Zuerst

    Nach dem Öffnen des Testdrucks in pezake werden zwei Dinge definitiv deutlich:

    Erstens hat ein PE-Archiv immer einen Einstiegspunkt irgendwo in der gesamten NTDLL, die läuft, ich würde sagen, der Initialisierungscode. Dies geschieht, nachdem die Idee während der Verwendung der Anwendung selbst an den zugehörigen Einstiegspunkt übergeben wurde. An der Ldpinch-Position des Einstiegspunkts kann der benutzerdefinierte Einstiegspunkt weiter nach dem CODE-Abschnitt der gesamten PE-Datei liegen. Cutter nennt diesen Ansatz Integer-Eintrag 0 bei 0x100026e4.
    Die zweite ungewöhnliche Eigenschaft einer Binärdatei ist, dass der CODE-Abschnitt, der insbesondere ein Versionsattribut enthält, enthalten ist. Dies bedeutet, dass Sie während der Durchführung eines Beispieltyps vollständig codieren und überschreiben können. Aus Sicherheitsgründen kann der CODE-Abschnitt schreibgeschützt und ausführbar sein.

    packer spyware and ldpinch a

    Diese beiden Eigenschaften sind im Allgemeinen ernstzunehmende Warnungen für gepackte Malware. Malware muss den gesamten komprimierten Code überschreiben, der über unkomprimierten Code verfügt, was die Funktion für eine beschreibbare CODE-Kategorie ist. Der Extraktor selbst muss irgendwo hinkommen, also haben die Adware-Autoren ihn sofort an einen Abschnitt angehängt, der mit CODE verknüpft ist.

    Benutzerdefinierter Diplomeintrag, aber auch beschreibbarer CODE-Abschnitt (Bild: G DATA)

    Benutzerdefinierter Beitrag und Abschnitt Beschreibbar Empfehlungen (zum Vergrößern anklicken; Bild: G DATA)

    Unser Ziel ist es also, wenn Sie Ihren aktuellen Code lesbar machen müssen, wenn mehr. Um an sie heranzukommen, schicken wir einen Entpacker. Eine andere Möglichkeit könnte das dynamische Entladen sein, bei dem Experten das Beispiel gut ausführen, bis die Situation in den Speicher dekomprimiert und dann der Code in eine Datei komprimiert wird. Aber in diesem Fall streben wir danach, einen statischen Dekompressor zu schreiben, der normalerweise nicht oft die Malware-Beispiele vervollständigen muss. Wenn Sie also zu Eintrag0 zurückkehren möchten, lassen Sie uns zurückgehen und sehen, ob wir dort möglicherweise etwas Nützliches finden können. Kommen wir zu Cutters grafischer Überprüfung und sehen uns vier erforderliche Blöcke an, gefolgt von einer einzelnen Quinte, wenn es um schlechte Anweisungen geht.
    Zweitens enthält der vierte Block eine Schleife, die den Paukbereich zu überdecken scheint. Dies ist oft typisch für einen Entpacker. Höchstwahrscheinlich gehen die ersten Blöcke oft in den Dekompressor. Das einzige, was wir ihnen erlauben müssen, jetzt zu schreiben, ist, die korrekte Funktionsweise zu verstehen und Ihren eigenen Dekompressor in Aktion zu setzen.

     Ungültige und dadurch disassemblierte Pfade sind nicht echt (Bild: G DATA)

    Laden Sie diese Software jetzt herunter und verabschieden Sie sich von Ihren Computerproblemen.

    Packer Malware Ldpinch A
    Packer Malware Ldpinch A
    Packer Malware Ldpinch A
    Malware Packer Ldpinch A
    Zlosliwe Oprogramowanie Pakujace Ldpinch A
    Empaquetador De Malware Ldpinch A
    Upakovshik Vredonosnyh Programm Ldpinch A
    Logiciel Malveillant Ldpinch A
    Packer Malware Ldpinch A
    패커 맬웨어 Ldpinch A