http://blog.mtian.net/mdecoder/

이 프로그램은 원래 FreShow 가 근간이며, jimmyleo 가 공유한 소스코드를 활용한 것으로 알고 있습니다.

MDecoder.zip

inline hooks

Beta 버전 : http://www2.gmer.net/beta/gmer.exe

특별한 경우가 아닌 이상 베타 말고 최신 정식 버전 사용하세요.

개발 과정

두 명의 개발자가 고객의 컴퓨터를 분석하고 있다.

A: 아무리 찾아 봐도 우리 프로그램의 문제로 컴퓨터가 오동작 하는 것 같지는 않은데…
B: 내가 봐도 그래. 혹시 악성 프로그램이 동작해서 그런 건 아닐까?

A: 조금 전에 실행 중인 프로그램이나 의심스러운 파일이 존재 하는지 살펴 보았는데 그런 건 없어 보였어.
B: 요즘에는 프로그램이나 파일이 실행 되어도 보이지 않는 루트킷 같은 프로그램이 있다고 들었어. 혹시, 이 컴퓨터에도 그런 프로그램이 실행 중이지 않을까?

A: 그럼 안철수연구소의 TrueFind를 다운로드 받아서 실행 해 봐야겠다.
B: 어? 숨겨진 파일이 2개나 있고 이를 실행한 프로세스까지 숨겨져 있었구나. 이것 때문에 컴퓨터가 이유 없이 느리고 오동작 했던거구나.

A: 이 파일들을 안철수 연구소에 신고하려면… 아! 여기 신고 버튼만 누르면 되네.
B: 역시 잘 찾고 빠르고 편하구나. 안철수 연구소 TrueFind 최고야!

(1) 은폐와의 전쟁. 그 시작은

은폐 악성 프로그램의 시작은 의외로 오래 되었다. 과거 호스트, 터미널 방식으로 시스템을 사용하던 시절에 시스템 관리자 (root)의 계정을 탈취하기 위해서 만들어진 작은 악성 프로그램들이 최초의 은폐형 악성 프로그램이며, passwd, ls, rm, tar 와 같이 기존 운영체제의 프로그램명과 동일하게 하여 운영자가 구분하기 어렵게 만드는 방식이었다. 이러한 프로그램을 시스템 관리자(root) 의 정보를 획득하는 프로그램이라는 의미에서 이름이 루트킷(rootkit)으로 명명되었다. 이후 은폐형 악성 프로그램들을 지칭하는 대명사가 되기도 하였다.

당시의 은폐 기법은 관리자의 작은 착각을 이용하는 단순한 방법이었으나, 점점 은폐 악성 프로그램들도 진화를 하여, 이제는 응용 프로그램에서 그 존재를 알 수 없는 것은 물론이거니와 백신이나 전문 은폐 진단 툴까지도 자신을 찾아 내기 어렵게 만들고 있다. 은폐되는 대상도 파일을 시작으로 프로세스, 레지스트리 그리고 네트워크 사용 정보까지 확대 시켰으며, 구현 방법도 과거 단순히 유저모드 실행 파일로 만들던 방법에서 이제는 커널 모드 드라이버를 사용하는 고수준의 구현 방법을 사용하고 있다. 이러한 은폐형 악성 프로그램에 대해 안철수연구소는 2004년 5월 Agobot에 대해 최초의 진단/치료 기술을 만들었다. AgoBot은 Win32 API 의 파일, 프로세스 열거 함수를 후킹하여 자신의 정보를 숨기는 악성 프로그램으로써 현재의 기술로 보았을 때는 초보적인 기법이 사용되었으나 당시로는 충격적인 기법이었다. 이 악성 프로그램에 대해 우리는 메모리 엔진을 사용하여 후킹 된 함수를 복구하는 기술을 개발하여 이를 국내 최초로 진단/치료 하였고 이러한 사실이 언론에 기사화 되기도 하였다. 이후 AgoBot의 변종을 비롯하여 Delf, Padodor, HackDefender 등 지속적으로 자신을 은폐 시키는 악성 프로그램들이 빈번히 출현하였다. 그 수가 많아 짐에 따라 메모리 엔진을 사용하여 은폐 악성 프로그램이 후킹한 WIN32 API 를 복구하는 방식에는 한계가 오기 시작하였다. 특히, 커널 모드 드라이버를 사용하여 프로세스를 은폐 시키는 HackDefender가 출현한 상황에서 사용자 모드에서 동작하는 메모리엔진 만으로는 대응을 할 수 없는 상황까지 이르게 되었다.

(2) 매의 눈 HawkEye를 만들다

은폐형 악성 프로그램을 건건히 진단하고 치료하는 방법에는 한계가 오기 시작했다.  매 건마다 악성 프로그램을 분석해야 했으며, 이에 대한 진단과 치료 기술을 개발하기 위해 다시 연구를 하는 등 많은 노력이 필요했으며, 그만큼 대응 시간도 오래 걸리게 되었다. 대응 시간이 길어지는 것은 곧 고객의 피해로 이어지기 때문에 항상 긴급하게 진행되었고 개발자와 대응 인력 그리고 결과를 손꼽아 기다리는 고객까지 모두가 많이 힘들어 하였다.

그 당시 급박한 상황을 알려주는 애피소드가 하나 있는데, 잦은 대응으로 인한 피곤함 때문에 모처럼 아무일 없기를 바라며 일찍 퇴근한 날이었다. 저녁으로 집에서 라면을 끓여 먹으려고 면을 막 냄비에 넣은 상황이었는데 회사에서 호출 전화가 걸려왔다. 고객사의 수십대 컴퓨터에 은폐형 악성 프로그램이 감염되었으니 빨리 진단/치료 프로그램을 제공해야 하는 상황이었다. 2시간이 걸려 집에 왔으나 너무 급한 나머지 그대로 불을 끄고 다시 회사로 2시간이 걸려 복귀하였는데, 대응을 마치고 새벽에 집에 돌아와 보니 라면의 면발이 너무 불어서 냄비 뚜껑이 들려 있을 정도였었다. 저녁을 못 먹었으니 배고픔에 몇 가닥 먹기는 하였으나 정말 눈물이 앞을 가리고, 은폐형 악성 프로그램에 대한 원한이 맺히기 까지 하였다. 당시 F사의 B 프로그램이 무료로 배포되기 시작하였는데, 특정 악성 프로그램을 찾아내는 것이 아니라 숨겨진 파일과 프로세스를 찾아내어 이를 사용자에게 알려주는 프로그램이었다. 당시의 은폐형 악성 프로그램을 잘 찾아 주었고, 실행 속도도 빠르며 프로그램의 크기도 작아 우리의 대응 및 분석가들도 이 프로그램을 사용할 만큼 인기가 좋았었다. 우리한테는 F 사의 B 프로그램과 같은 기술이 필요했다. 매번 악성 프로그램에 대응하는 것에는 분명한 한계가 있으므로 시간이 걸리더라도 근본적으로 은폐된 프로그램을 진단/치료 할 수 있는 이러한 기술이 절실히 필요했기에 이어서 바로 프로젝트를 개시 하였다. 그 프로젝트는 TrueFind의 전신인 HawkEye 프로젝트로써, 새의 눈 중에 가장 시력이 좋은 매의 눈을 프로젝트 명으로 정한 것이다. 어떤 프로그램보다도 은폐된 악성 프로그램을 잘 찾아 내라는 의미로 짓게 되었다.

HawkEye는 은폐된 프로세스와 모듈을 찾아내는데 그 목표를 두었다. 당시, 은폐형 악성 프로그램은 주로 자신의 프로세스와 타 프로세스에 Injection 한 DLL 모듈을 은폐 하는 행위를 주로 하였으며 이러한 행위를 타겟으로 한 것이었다. 또한, 당시 출현하기 시작한 DKOM 과 같이 커널 모드에서 시도하는 프로세스 은폐에도 대응 할 수 있도록 커널 모드 드라이버로 구현을 하였다. 이때가 2005년 10월로써 이후 다른 중요한 일들로 인해 중간중간 프로젝트가 중단되며 우여곡절 끝에 2006년 5월에 은폐 프로세스 진단 기능이 완성되었다. 이 은폐 프로세스 진단 기능은 당시 타사의 프로세스 진단 기능에 비해 은폐 프로세스를 더욱 잘 진단하였으며, 은폐된 모듈까지 진단하도록 되어 있어서 그 성능이 월등히 좋았다. 특히, 커널 모드형 악성 프로그램에 대응하도록 개발하여 현재 까지도 최신의 은폐형 악성 프로그램 진단/치료에 사용되고 있다. 전용백신에 적용하여 좋은 효과를 보았으며, 고객 대응에도 활용하고 싶다는 요구에 따라 AhnReport에도 적용하여 프로세스 목록에 의심스러운 은폐 프로세스와 은폐 모듈이 존재하는지 정보를 알려주었다. 이 지면을 통해 당시 검증되지도 않았던 은폐 프로세스 진단 기능을 AhnReport에 흔쾌히 적용 해 주신 이현성 책임님께 감사 드린다.

(3) 세종대왕과 함께한 진정한 은폐 진단/치료 기술. TrueFind

HawkEye의 성공에 이어서 우리는 더 중요한 은폐된 파일과 레지스트리를 찾아 낼 수 있는 기술을 개발할 준비를 시작하였다. 특히 이번 기술은 대상이 은폐된 파일과 은폐 레지스트리이므로 V3 의 수동검사에서 사용하는 것을 기본 목표로 정했기 때문에 안정성을 갖추면서도 높은 진단률과 빠른 속도를 갖는게 중요했다.

성공 가능성이 높지 않았기 때문에 프로젝트를 시작하기 전에 기술검토를 먼저 시작하였는데 원하는 조건을 모두 만족하는 것은 너무 불가능 해 보였다. 당시 타사에서 무료로 배포하는 툴에 적용된 기술들을 우선 검토한 결과 은폐 파일 진단/치료 만을 예로 들자면, 파일 시스템에 직접 접근하여 정보를 획득하는 방법을 채택하고 있었다. 이 방식은 높은 진단률을 가졌지만 파일 시스템에 직접 접근함으로써 안정성이 낮았고 속도가 느렸다. 다른 기술들 역시 안정성이 높으면 속도가 느리거나 진단률이 떨어졌다. 타사의 기술들이 참고는 되었으나 우리가 원하던 기술들은 아니었다. 우리가 목표로 하는 기술은 결국 독자적으로 연구해서 개발해야 했는데 타사들이 사용한 방식 이외에는 더 좋은 방법이 떠오르지 않았다. 이 당시 고민 거리가 있으면 여의도 공원의 세종대왕 동상을 찾아가 대왕님을 바라보며 속으로 해결 방법을 물어보는 기괴한 습관이 생겼는데, 마땅한 방법이 떠오르지 않았던 당시 매일 매일 야근시간이면 대왕님과 대화를 하는 위험한(?) 상황에까지 이르게 되었다. 그날도 대왕님과 답 없는 대화를 마치고 공원을 나올 때였는데 문득 떠오르는 생각이 있었다. 은폐 악성 프로그램이 자신의 정보를 숨기는 방식은 자신의 파일명이 파일 목록에 포함되어 있을 경우 해당 목록에서 자신의 파일명 정보만을 제거하는 방식인데, 만일 악성 프로그램이 파일 목록에서 자신의 파일명 정보를 찾지 못한다면 역시나 은폐를 하지 못 할 것 이라는 것이다. 그렇다면 전달되는 파일 시스템에서 응용 프로그램으로 전달되는 정보를 우리가 암호화하여 응용 프로그램에 전달되는 중간에는 은폐형 악성 프로그램이 정보를 알아채지 못 하도록 하고, 응용 프로그램에 전달 되기 직전에 다시 복호화 한다면 우리는 은폐형 악성 프로그램을 찾아 낼 수 있을 것 같았다.

바로 프로토타입핑을 하여 만들어본 결과 너무나 그 성능이 만족스러웠다. 일반 WIN32 API 로 파일 시스템의 파일 목록을 구하는 속도와 거의 차이가 없었으며, 타사와 달리 파일명을 암호화 하는 방식이므로 위험하게 파일시스템에 접근하지 않아서 안정성이 매우 높았다. 또한, 진단률 역시 가장 최고의 진단률을 보였던 G 프로그램에 비해 약 90% 정도의 수준이었으므로 이 정도면 최초 개발 수준으로는 무척 좋은 수준이었다. 이후 은폐된 파일의 목록을 구하는 것 뿐만 아니라 역으로 암호화된 파일명을 사용하여 은폐된 파일을 제어하는 방법 등 다양하고도 우리가 독자적으로 개발한 진단/치료 기술들에 대한 기술검토가 진행되었으며 좋은 결과가 예상되었다. 2007년 10월. TrueFind의 첫 삽이 떠졌다. 앞서 검토된 기술 결과를 다양한 제품에서 사용 할 수 있도록 SDK 로 제공 할 수 있도록 설계 되었으며, 은폐된 파일 뿐만 아니라 타사에서는 제공하지 않았던 은폐 레지스트리 진단과 은폐 네트워크 포트 기능까지 제공되도록 하였다. TrueFind 프로젝트는 2008년 6월 30일. 장장 8개월에 걸쳐 프로젝트가 완료되었다.

프로젝트 기간에 새롭게 등장한 MBR Rootkit에 대해 중간 산출물을 전용백신으로 제공하여 세계 두 번째 MBR Rootkit을 진단/치료하는 전용백신을 공개하기도 하였으며, 가상 실행 기술을 이용한 최신 은폐 프로그램의 진단/치료, 원격 핸들 제어 기능 등 프로젝트 기간동안 신규 개발된 기술들을 계속 추가함으로써 더욱 강력한 진단/치료 률을 제공 할 수 있게 하였다. 시작은 늦었으나 HawkEye, TrueFind 프로젝트를 통해 우리는 타사에 비해 앞선 은폐 프로세스, 파일, 레지스트리, MBR 및 네트워크 포트 진단기능까지 은폐에 관한 한 모든 범위의 악성 프로그램을 진단하고 치료 할 수 있는 기술을 갖출 수 있게 된 것이다. 이제 TrueFind를 이용한다면 더 이상 은폐형 악성프로그램은 은폐형이 아닌 일반 악성 프로그램이 될 뿐이다.

(4) 기술은 제품으로

안철수연구소에는 오늘도 많은 기술들이 연구되지만 실제로 제품에 반영되는 기술은 그 수가 많지 않다. 기술 자체가 실험적이기도 하지만 안정성을 갖추지 못 한다면 제품에 반영되어 실제 사용되기에는 많은 위험이 따르기 때문이다. TrueFind는 최초 설계 시부터 안정성을 우선으로 두고 설계되었기 때문에 프로젝트 완료 시에 바로 제품 적용을 시도하였다. 최초 적용 제품은 V3 IS 8.0 으로써, 신제품답게 강력한 진단/치료 기술을 갖추어야 했으며, TrueFind 가 이를 지원하기에는 안성맞춤이었다. V3 IS 8.0 에는 프로세스 검사, 시작 프로그램 검사, 파일 검사 등에 각각 은폐 프로세스, 은폐 레지스트리, 은폐 파일 기능이 포함되어 그 동안 전용백신으로만 진단/치료 할 수 있었던 최신의 은폐 및 자기 보호 악성 프로그램을 별도의 프로그램 없지 자체적으로 진단/치료 할 수 있도록 되었다. 또한, V3 IS 7.0 에도 적용을 시작함으로써 이제 자사의 주요 제품들은 타사에 비해 더욱 강력한 진단/치료 능력을 갖추게 되었다.

(5) 모두에게 도움을 주기 위해

2005년도 이미 F 사는 B 프로그램을 무료로 제공하여 F 사의 백신 프로그램을 모르는 사용자도 B 프로그램은 잘 알고 있는 상황이었다. 이뿐만 아니라 많은 주요 보안 회사들은 무료로 자신들의 은폐 진단/치료 툴을 배포하고 있었다. 무료로 툴을 제공하는 것은 사용자에게 도움을 주기도 하지만, 그 회사의 기술력을 광고하는 효과도 있으므로 많은 회사들이 무료 은폐 진단/치료 툴을 제공하는 것 이었다. 우리는 독자적인 은폐 진단/치료 툴이 없었다. 사용자에게 배포하는 툴은 물론이거니와 분석 및 고객지원에 사용할 은폐 진단/치료 툴도 없는 상황으로써 시급히 툴이 필요한 상황이었다. 다행히 기술이 준비되었으므로 툴을 바로 기획하였다. 이 작업은 기반기술팀의 파일 파트 4명과 네트워크 파트 1명이 참여하여 IQ 프로젝트로 진행을 시작했다. 김성현 책임이 기획과 리더 역할을, 고항훈 선임과 김경현 선임이 은폐 진단/치료 기술의 적용을 담당하고, 김현철 주임이 성능 시험을, 황두환 주임이 User Interface 개발을 담당하였다. 정식 프로젝트가 아닌 IQ 로 진행되는 일인만큼 모두가 참여할 시간이 부족했다. 특히, 진행 기간이 연말과 연초였기에 원래 업무가 무척 많은 상황에서 진행되어 개발 속도가 더디고 부담이 많이 되는 상황이었다.또한, 작은 툴을 생각했었으나 다양한 요구에 의해 단순한 진단, 리포트 뿐만 아니라 진단된 파일의 수집 및 검사와 업데이트 알림 까지 준 백신 급의 프로그램으로 만들어지게 되었다. 더욱 문제는 기반기술팀의 특징답게 기술은 잘 만들 수 있으나 User Interface 개발과는 거리가 멀었는데, 다행히 멀티 플레이어인 황두환 주임이 아주 멋있게 User Interface를 개발 해 주었다. 객관적이지는 않지만 필자의 생각으로는 지금까지의 은폐 진단/치료 툴 중 가장 편하고 멋진 화면을 보여주는 툴이라 생각한다.

마침내 2009년 6월 자사 최초의 공개 툴 TrueFind가 완성되었고, 현재는 IQ 심사를 진행 중 이다. 7월 중에 고객에게 자사의 베타 사이트를 통해 배포를 될 수 있도록 준비를 하고 있다. 이 프로그램은 훌륭한 팀웍이 만들어 낸 프로그램이다. 모두가 바쁜 상황에서도 다른 사람들에게 도움을 주기 위해 없는 시간도 만들 정도로 희생을 하며 적극적으로 참여하였으며, 기존보다 나은 툴을 만들기 위해서 지속적인 아이디어 회의를 통해 방법을 도출 하고 적용을 시도하였다. 그 결과로써 타사의 은폐 진단/치료 툴보다도 빠르고, 사용하기 편하며 다른 툴에는 없는 기능인 진단된 결과를 네트워크를 통해 악성 유무까지 확인 할 수 있는 (AhnLab Smart Defense 연동) 기능까지 포함된 유용한 툴이 만들어지게 된 것이다. 앞으로 이번 배포뿐만 아니라 지속적으로 최신의 은폐형 악성 프로그램에 대응 될 수 있도록 업그레이드 될 것이며, 사용자의 요구 사항도 적극 반영하여 사용하기 편리한 프로그램으로 만들어 나갈 것 이다. 국내뿐만 아니라 세계에서도 가장 많이 사용되는 은폐 진단 툴이 될 때까지 모두가 계속 노력 할 것 이다.

(6) 마치며

자사의 독창적인 기술로써 타사 대비 높은 진단률과 안정성 그리고 빠른 속도를 갖는 기술과 바로 사용할 수 있는 툴이 갖추어 진 것만으로도 TrueFind가 목표했던 바 중 하나는 이루어 냈다고 생각한다. 하지만. 다른 하나의 목표가 있다. 그 목표는 모 사이트의 은폐 진단 성능 벤치마크를 기준으로 TrueFind를 평가하여 10개의 은폐 진단 프로그램 중 1등을 차지 하는 것 이다. 현재는 약 3위 정도의 위치이다. 목표하는 바를 이루기 위해 TrueFind 기술과 툴은 계속 업그레이드 될 것이고, 우리는 계속 노력 할 것이다.

TrueFind.exe

http://bsa.qnea.de/bsa.rar

29A 를 운영했던 Virus Buster 가 개발한 것이다.

Xandora is a tool for analyzing the behavior of Windows PE-executables with special focus on the analysis of malware. Execution of Xandora results in the generation of a report file that contains enough information to give a human user a very good impression about the purpose and the actions of the analyzed binary.

- Files created by the malware.
- logs all generated network traffic.
- Detailed data about modifications made to the Windows registry
- Capture all running process

- Panda Security Malaysia
- vnsecurity.net
- security.org.my (Honeynet, Malaysian Chapter)

– Windows executable
– Panda Beagle compressed file
– Zip file (with password “panda”)
– RAR compressed file (without password)

The evaluation version has the following limitations

• it only supports the 80x86 & ARM family : IDA Pro support a large number of other processors.
• it will only load 80x86 & ARM PE files. The full version of IDA Pro will accept virtually any file, from Atmel ROMs to OS/2 LX executables. See our disassembly gallery for information about the additional processors, operating systems and file formats we support.
• only the Windows GUI version is included in the archive. IDA Pro runs natively as a Windows GUI or console application and as a Linux Console.
• the only compiler signatures included are the ones that can be used to produce Windows 32 PE files; the only type information included is for Visual C++ 6 and Borland C++ Builder.
• this demo contains a demo version of the ARM/Windows CE debugger.
  Please see our ARM/Windows CE debugging tutorial
• this demo contains a demo version of the Bochs debugger.
  Check the debugger tutorial NEW!
• you will not be able to save your work, it will time out after some use, it will not disassemble itself.

The full version of IDA Pro is not limited in any way, comes with one full year of free e-mail support and one full year of free downloadable upgrades.

Symbian OS 용 악성코드 분석에 유용한 도구입니다.

sisxplorer.zip

processhacker-1.5-bin.zip

FIXED:
* Windows XP BSODs
* Incorrect drive letter resolving for file handles
* Linked token display on x64 

maltrap_v0.2a.zip

MalTrap is a research utility that monitors malware behavior by intercepting API calls and logging results. MalTrap can also be used in other reversing contexts.

중국 Sucop(http://sucop.com/) 에서 개발하여 공개한 VMUnpacker V1.3 입니다.

VMUnpacker.rar

    This tool based on the technology of virtual machine, it could unpack various known & unknown packers. It is suitable for unpacking the protected Trojan horse in virus analyses, and because all codes are run under the virtual machine, so they will not take any danger to your system..

    This product is free software; you can download it, install it, copy it and distribute it noncommercially; If you want use it for commercial sale, copy and distribute, you must get the warranty and permission of DSWLAB before(for example, if the anti-virus company want to use it to analyses the Trojan horse in batches, he must get mandate and permission of DSWLAB before).

    By testing, this version could support 61 kinds packers (include more than 300 versions).
　　The detailed list:
　　
    upx 0.5x-3.01  All Version
    BeRoEXEPacker
    aspack 1.x--2.x   All Version
    PEcompact 0.90--1.76 2.06--2.79   All Version
    fsg v1.0 v1.1 v1.2 v1.3 v1.31 v1.33 v2.0  All Version
    vgcrypt v0.75
    nspack 1.4--4.1  All Version
    expressor v1.0 v1.1 v1.2 v1.3 v1.4 v1.501 
    npack v1.5 v2.5 v3.0
    dxpack v0.86 v1.0
    !epack v1.0 !epack v1.4
    bjfnt v1.2 v1.3
    mew5 mew v1.0 v1.1
    packman v1.0
    PEDiminisher v0.1
    pex v0.99
    petite v1.2 v1.3 v1.4 v2.2 v2.3  All Version
    winkript v1.0
    pklite32
    pepack v0.99 v1.0
    pcshrinker v0.71
    wwpack32 1.0--1.2
    upack 0.1--0.399
    rlpack 1.11--1.19
    exe32pack v1.42
    kbys v0.22 v0.28 
    yoda's protector v1.02 v1.025 v1.03.2 v1.03.3
    yoda's crypt v1.1
    yoda's crypt v1.2 v1.3 v1.xModify
    XJ 
    exestealth  2.72--2.76
    hidepe v1.0 v1.1
    jdpack v1.01 v2.1 v2.13
    jdprotect 0.9b
    PEncrypt v3.0 v3.1 v4.0
    Stone's PE Crypt v1.13
    telock v0.42 v0.51 v0.60 v0.70 v0.71 v0.80 v0.85 v0.90 v0.92 v0.95 v0.96 v0.98 v0.99
    ezip
    hmimys_pack v1.0
    lamecrypt v1.0
    depack
    polyene v0.01
    dragonArmour
    EP Protector v0.3
    PackItBitch
    trojan_protect 
    anti007 v2.5 v2.6
    mkfpack
    yzpack v1.1  v2.0
    spack method1  spack method2
    naked packer v1.0
     
    upolyx v0.51
    stealthPE v1.01   stealthPE v2.2 
    mslrh v0.31 v0.32
    mslrh v0.2 == [G!X]'s Protect
    morphine v1.3 morphine v1.6 morphine v2.7
    rlpack full edition
    EXEFog v1.1
    ASDPack
    PEBundle
    Neolite

VM Unpack Engine SDK：

The commercial VM Unpack Engine SDK will be provided solemnly (VM Unpack Engine SDK).

Use VM Unpack Engine SDK, the developer does not need to care about the unpacked course and method, only needs to transmit the data to VMUE SDK, VMUE will finish analyzing and unpacking automatically. VMUE supports to send the result of unpacking to the file and memory at the same time,  and returns OEP after unpacking directly, It help you unpack packers in your products and tools.
   
Rebuild PE file after unpacking, such as repair the import table, Overlay, etc. offer the essential condition that rebuilding can running EXE program.

VMUE SDK includes the following part mainly:

 Relevant dynamic or static link libraries
 VMUE SDK technological white paper and the document about the interface of SDK
 Codes of calling VMUE SDK
 Packer's signature library in binary
 Other auxiliary routines and codes

Welcome to use this software and feedback the question to support@dswlab.com
   
If you have any question in using, send us email and we will try to help; please post the unpacked program in mail; it is better that you post the packed tool of the program.
Email: support@dswlab.com.
   
Supercop：Kill various kinds of Trojan horse completely, protect the security of system in an all-round way.
more free tools download：http://www.dswlab.com
Specialized desktop and safe products of content ：http://www.unnoo.com

IceSword 제작자 사이트
http://pjf.blogcn.com/index.shtml (개인블로그)
http://mail.ustc.edu.cn/~jfpan/ (중국과학기술대학)

SKINFOSEC-CHR-010-ICEsword 분석 매뉴얼.pdf

IceSword Author Speaks Out On 'Rootkits'

The one exception was the site of Hacker Defender, a rootkit package that's sold in a basic version for 20 euros (about $25 USD) and "silver" and "gold" versions for up to 450 euros. The package's author, who calls himself "holy_father," has written on his site that currently the only antirootkit tool that can detect Hacker Defender (HxDef) is IceSword. He called it "such a nice tool, [a] real challenge," adding, "One of my priorities this summer [will be] to beat IceSword."

The author of IceSword is a Chinese programmer who goes by "pjf_" in online postings. I was finally able to track down pjf_ and interview him through an intermediary. (After discovering an e-mail address pjf_ once used in a discussion forum, I sent a message requesting his full name, but my communication went unanswered.)

The following interview was conducted for me in Chinese by Ming Jin, a researcher who works with eEye Digital Security, based in southern California. I had the responses translated into English by Zhen Wang, a professional translator in Beijing.

IceSword's Strengths and Weaknesses

Q: How could a rootkit bypass IceSword?

PJF_: For the newly released version 1.10, it's not known that a rootkit can bypass IceSword. In theory, a rootkit could bypass IceSword, but it has got to get into IceSword's kernel. However, this is not easily done in a short period of coding/programming.

While programming IceSword, I thought of a way a rootkit might bypass it and how to deal with this. However, for IceSword's stability, I didn't add such functionality. IceSword will be upgraded as new rootkits are released.

Actually, it is more reasonable that a rootkit could break IceSword, not just bypass it. Yet, attempting to do so could make a rootkit visible to IceSword. An easier way would be to analyze IceSword completely, and cut down its linking between the kernel and the user interface. This could be done in a new version [of a rootkit].

Detecting Hacker Defender

Q: How does IceSword detect Hacker Defender? (By enumerating services, and finding hidden ones, I would guess.)

PJF_: Hacker Defender is a strong rootkit, and the Gold and Silver Hacker Defender packages are more potent. Many antirootkit programs, such as Rootkit Revealer and BlackLight, can't detect Hacker Defender. (Such statements can be found on the Web site of the author of Hacker Defender.) I haven't got the Gold and Silver packages. But on the author's home page, it is stated that Hacker Defender cannot evade IceSword. And IceSword is continually improving.

Regarding the public version of HxDef, IceSword can detect all the hidden stuff, such as files, register maps, processes, services, and so on. My techniques can detect such a rootkit and quarantine and clean it. In addition, a tool called Ishelp in IceSword version 1.10 is also very helpful in detecting rootkits.

Comparing IceSword with Other Antirootkit Programs

Q: Is IceSword better than Rootkit Revealer or BlackLight?

PJF_: I think that the user is in a position to make such a judgment. In my opinion and after many tests, IceSword looked more stable in many cases. However, each software program has its own unique features and strengths. Some rootkit writers have their own comments and they are in a better position in making judgments.

Other Features of IceSword

Q: Does IceSword do anything else?

PJF_: IceSword also does a pretty good job of breaking the protection of a potent rootkit over processes, files, and register maps. For example, if a rootkit uses a filter driver to disable writing and deleting files, IceSword can detect this and clean it up.

I've developed a new version, which has such features as a firewall, file protection, and driver monitoring. Not all of this is written using publicly documented Microsoft code. This version cannot be released before it has been thoroughly tested on multiple platforms.

F-Secure Responds Regarding BlackLight

I asked F-Secure, the publisher of BlackLight, and SysInternals.com, the publisher of Rootkit Revealer, for their reaction to pjf_'s assertion that IceSword can detect rootkits that their products cannot.

"We have heard of the IceSword tool and have no doubt that it is a capable rootkit detector," says Mikael Albrecht, product manager for F-Secure, which is headquartered in Helsinki, Finland. "The question about what antirootkit tool is the best is hard to answer. We agree with pjf_'s point that rootkit detectors are different and are focused on different use cases and users. It is, in addition to that, worth noting that the Windows rootkit scene is new and rapidly developing.

"Rootkit detection is a cat-and-mouse game. Sometimes the rootkit authors are ahead, sometimes the antirootkit authors. We can at the moment detect all rootkit samples that we have access to, but that may change as soon as a new, more advanced rootkit is published. We will naturally respond with improved detection when that happens. There are still no signs that this race will slow down. This makes it even harder to name the best antirootkit tool. ...

"Rootkit technology is not a big problem at the moment. The number of affected systems is a small fraction compared to the number of virus infections. We must, however, be prepared to handle virus outbreaks that install rootkit technology in a large number of systems. It is important that the security industry has got technology that is mature enough when it happens. Every cycle with improved rootkits and antirootkit tools gives us better ability to handle situations like that."

SysInternals.com did not respond to my request for comment.

Conclusion

IceSword has a Windows Explorer-like interface but displays hidden processes and resources that Windows Explorer would never show. It isn't a "click-here-to-delete-rootkits" product but a sophisticated discovery tool that can protect against sinister rootkits if used before they infect a machine.

IceSword's documentation is entirely in Chinese, but that wouldn't necessarily stop dedicated IT administrators from downloading the software and trying it on a test Windows PC. I encourage security professionals to look into this further and let me know what you learn.

IceSword is downloadable from Xfocus.net, a Chinese security site, in compressed RAR format at Xfocus.net/tools/200505/1032.html.

Update as of 2005-11-15: An English-language version of the program is now available for download from the following Web page:

http://xfocus.net/tools/200509/1085.html

http://itmanagement.earthweb.com/columns/executive_tech/article.php/3512621

특정 웹 사이트의 소스를 분석하거나 코드를 수정하여 재입력할 수 있다.

윈도우 XP Home 버전에서 안전모드 부팅 없이 보안설정 권한을 주는 프로그램

최근에 시스템폴더에 접근하지 못하는 권한 설정 문제가 다수 보고되고 있다.

FileSecPatch.exe

If folders and files are on a NTFS disk drive part, it can be determined which users have access rights onto these files and files.
With the professional version of Windows XP in the property dialog of the respective folders and files the necessary adjustments can be carried out.
With the Home version this security dialog page lacks. The use of restricted user accounts is complicated by that enormously.

The dialog for the security adjustment for files lies in the file for shell extensions with the name rshx32.dll. From this file the program produces now a patched copy with the name rshx32_p.dll. The entries for rshx32.dll are changed in the Windows registration database and added a key that does belief to the patched copy Windows would work in the protected mode.

Instructions:
Start the program FileSecPatch.exe with admin-rights.
Click on the button Install patch
The patch is immediately effective. With files and folders you have now a security page.

You would like this patch not, you can remove it through a click on patch remove.
Important: no original files are changed or replaced!

• GnuPG 1.4.5      (필수) GNU Privacy Guard - 실제 암호화 기능 툴
• WinPT 1.0.0       (필수) Front-end GnuPG program for Windows - 키 생성/관리 툴
• GPA 0.7.4          (옵션) GNU Privacy Assistant - 키 생성/관리 툴
• GPGol 0.9.90 **      (옵션) Outlook 2003을 위한 이메일 암호화/해독 플러그인
• GPGee 1.3.1      (옵션) 윈도우 탐색기용 오른쪽 마우스 메뉴 파일 암호화 플로그인
• Sylpheed-Claws 2.4.0 (필요없음) - GnuPG 모든 기능을 지원하는 이메일 클라이언트
• Gpg4win für Einsteiger 2.0.2 (필요없음) - 독일어 매뉴얼
• Gpg4win für Durchblicker 2.0.2 (필요없음) - 독일어 매뉴얼

YARA is a tool aimed at helping malware researchers to identify and classify malware samples. With YARA you can create descriptions of malware families based on textual or binary patterns contained on samples of those families. Each description consists of a set of strings and a Boolean expression which determines the its logic. Let's see an example:

rule silent_banker : banker
{
    strings: 
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}  
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

The rule above is telling YARA that any file containing one of the three strings must be reported as silent_banker.

This is just a simple example, more complex and powerful rules can be created by using binary strings with wild-cards, case-insensitive text strings, special operators, regular expressions and many other features that you can find explained in YARA's documentation.

YARA is multi-platform, running on Windows, Linux and Mac OS X, and can be used through its command-line interface or from your own Python scripts using the yara-python extension.

More examples

rule zbot : banker
{
     strings: 
  	$a = "__SYSTEM__" widechar
	$b = "*tanentry*"
	$c = "*<option"
	$d = "*<select"
	$e = "*<input"

     condition:
 	($a and $b) or ($c and $d and $e)
}

rule banbra : banker
{
    strings: 
  	$a = "senha" fullword nocase
	$b = "cartao" fullword nocase
	$c = "caixa" 
	$d = "login" fullword nocase
	$e = ".com.br"

     condition:
	#a > 3 and #b > 3 and #c > 3 and #d > 3 and #e > 3 		
}