http://blog.mellenthin.de/archives/2008/12/30/25c3-hangover/ says, in a writeup about the recent CCC meeting, "Sehr interessant war Squeezing Attack Traces und Stormfucker: Owning the Storm Botnet. Zuerst wurden konkrete Techniken gezeigt, wie man Malware analysieren kann. Die Zentrale Idee ist hier, statt eine Sandbox (Windows in einer VM) zu verwenden, die Requests unter Linux an Wine weiterzureichen. Dort kann man sich an jedem beliebigen Punkt reinh?ngen und die Requests der Malware auseinander nehmen." Sounds like somebody was using Wine to trace through the Storm bot's code, one win32 syscall at a time. Cool! - Dan
On Tue, Dec 30, 2008 at 4:52 PM, Dan Kegel <dank at kegel.com> wrote:> http://blog.mellenthin.de/archives/2008/12/30/25c3-hangover/ > says, in a writeup about the recent CCC meeting, > "Sehr interessant war Squeezing Attack Traces und Stormfucker: Owning > the Storm Botnet. Zuerst wurden konkrete Techniken gezeigt, wie man > Malware analysieren kann. Die Zentrale Idee ist hier, statt eine > Sandbox (Windows in einer VM) zu verwenden, die Requests unter Linux > an Wine weiterzureichen. Dort kann man sich an jedem beliebigen Punkt > reinh?ngen und die Requests der Malware auseinander nehmen." > > Sounds like somebody was using Wine to trace through the Storm bot's code, > one win32 syscall at a time. Cool!This may be related: http://zerowine.sourceforge.net/ It's fairly simple... just a prebuilt qemu image that lets you run a piece of malware in a wine-on-qemu sandbox with verbose logging (looks like WINEDEBUG=+relay,+file). - Dan
Seemingly Similar Threads
- Re: unable to dissect libvirt rpc packets using wireshark plugin
- Re: unable to dissect libvirt rpc packets using wireshark plugin
- Re: unable to dissect libvirt rpc packets using wireshark plugin
- unable to dissect libvirt rpc packets using wireshark plugin
- ADS data crippled after joining Samba into active MS domain