Translated ['src/generic-methodologies-and-resources/basic-forensic-meth

src/generic-methodologies-and-resources/basic-forensic-methodology/malware-analysis.md

@@ -2,11 +2,11 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
-## Ściągi Kryminalistyczne
+## Ściągi do forensyki
 
 [https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/)
 
-## Usługi Online
+## Usługi online
 
 - [VirusTotal](https://www.virustotal.com/gui/home/upload)
 - [HybridAnalysis](https://www.hybrid-analysis.com)
@@ -14,7 +14,7 @@
 - [Intezer](https://analyze.intezer.com)
 - [Any.Run](https://any.run/)
 
-## Offline Narzędzia Antywirusowe i Wykrywania
+## Offline narzędzia antywirusowe i detekcyjne
 
 ### Yara
 
@@ -57,7 +57,7 @@ clamscan folderpath #Scan the whole folder
 ```
 ### [Capa](https://github.com/mandiant/capa)
 
-**Capa** wykrywa potencjalnie złośliwe **zdolności** w plikach wykonywalnych: PE, ELF, .NET. Zatem znajdzie takie rzeczy jak taktyki Att\&ck lub podejrzane zdolności, takie jak:
+**Capa** wykrywa potencjalnie złośliwe **zdolności** w plikach wykonywalnych: PE, ELF, .NET. Znajdzie więc takie rzeczy jak taktyki Att\&ck lub podejrzane zdolności, takie jak:
 
 - sprawdzenie błędu OutputDebugString
 - uruchomienie jako usługa
@@ -102,11 +102,11 @@ sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--sk
 ```
 ### FLOSS
 
-[**FLOSS**](https://github.com/mandiant/flare-floss) to narzędzie, które spróbuje znaleźć zafałszowane ciągi w plikach wykonywalnych, używając różnych technik.
+[**FLOSS**](https://github.com/mandiant/flare-floss) to narzędzie, które próbuje znaleźć obfuskowane ciągi w plikach wykonywalnych, używając różnych technik.
 
 ### PEpper
 
-[PEpper ](https://github.com/Th3Hurrican3/PEpper)sprawdza podstawowe rzeczy w pliku wykonywalnym (dane binarne, entropię, URL-e i IP, niektóre reguły yara).
+[PEpper ](https://github.com/Th3Hurrican3/PEpper)sprawdza podstawowe rzeczy w pliku wykonywalnym (dane binarne, entropię, adresy URL i IP, niektóre reguły yara).
 
 ### PEstudio
 
@@ -118,11 +118,11 @@ sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--sk
 
 ### NeoPI
 
-[**NeoPI** ](https://github.com/CiscoCXSecurity/NeoPI)to skrypt w Pythonie, który wykorzystuje różnorodne **metody statystyczne** do wykrywania **zafałszowanej** i **szyfrowanej** zawartości w plikach tekstowych/skryptowych. Celem NeoPI jest pomoc w **wykrywaniu ukrytego kodu web shell**.
+[**NeoPI** ](https://github.com/CiscoCXSecurity/NeoPI)to skrypt w Pythonie, który wykorzystuje różnorodne **metody statystyczne** do wykrywania **obfuskowanej** i **szyfrowanej** zawartości w plikach tekstowych/skryptowych. Celem NeoPI jest pomoc w **wykrywaniu ukrytego kodu web shell**.
 
 ### **php-malware-finder**
 
-[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) robi wszystko, co w jego mocy, aby wykryć **zafałszowany**/**podejrzany kod**, a także pliki używające funkcji **PHP** często stosowanych w **malware**/webshellach.
+[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) stara się jak najlepiej wykrywać **obfuskowany**/**podejrzany kod**, a także pliki używające funkcji **PHP** często stosowanych w **malware**/webshellach.
 
 ### Apple Binary Signatures
 
@@ -137,18 +137,100 @@ codesign --verify --verbose /Applications/Safari.app
 #Check if the signature is valid
 spctl --assess --verbose /Applications/Safari.app
 ```
-## Techniki wykrywania
+## Techniki Wykrywania
 
-### Stacking plików
+### Stacking Plików
 
-Jeśli wiesz, że jakiś folder zawierający **pliki** serwera WWW był **ostatnio aktualizowany w jakiejś dacie**. **Sprawdź** **datę**, w której wszystkie **pliki** na **serwerze WWW** zostały utworzone i zmodyfikowane, a jeśli jakakolwiek data jest **podejrzana**, sprawdź ten plik.
+Jeśli wiesz, że jakiś folder zawierający **pliki** serwera WWW był **ostatnio aktualizowany w jakiejś dacie**. **Sprawdź** **datę** wszystkich **plików** w **serwerze WWW**, które zostały utworzone i zmodyfikowane, a jeśli jakakolwiek data jest **podejrzana**, sprawdź ten plik.
 
-### Bazowe wartości
+### Bazowe Wartości
 
 Jeśli pliki w folderze **nie powinny były być modyfikowane**, możesz obliczyć **hash** **oryginalnych plików** folderu i **porównać** je z **aktualnymi**. Wszystko, co zostało zmodyfikowane, będzie **podejrzane**.
 
-### Analiza statystyczna
+### Analiza Statystyczna
 
-Gdy informacje są zapisywane w logach, możesz **sprawdzić statystyki, takie jak ile razy każdy plik serwera WWW był otwierany, ponieważ web shell może być jednym z najczęstszych**.
+Gdy informacje są zapisywane w logach, możesz **sprawdzić statystyki, takie jak ile razy każdy plik serwera WWW był dostępny, ponieważ web shell może być jednym z najczęstszych**.
+
+---
+
+## Deobfuskacja Dynamicznego Przepływu Kontroli (JMP/CALL RAX Dispatcher)
+
+Nowoczesne rodziny złośliwego oprogramowania intensywnie nadużywają obfuskacji Grafu Przepływu Kontroli (CFG): zamiast bezpośredniego skoku/wywołania obliczają miejsce docelowe w czasie rzeczywistym i wykonują `jmp rax` lub `call rax`. Mały *dispatcher* (zwykle dziewięć instrukcji) ustawia ostateczny cel w zależności od flag CPU `ZF`/`CF`, całkowicie łamiąc statyczne odzyskiwanie CFG.
+
+Technika – zaprezentowana przez loader SLOW#TEMPEST – może być pokonana za pomocą trzyetapowego przepływu pracy, który opiera się tylko na IDAPython i emulatorze CPU Unicorn.
+
+### 1. Zlokalizuj każdy pośredni skok / wywołanie
+```python
+import idautils, idc
+
+for ea in idautils.FunctionItems(idc.here()):
+mnem = idc.print_insn_mnem(ea)
+if mnem in ("jmp", "call") and idc.print_operand(ea, 0) == "rax":
+print(f"[+] Dispatcher found @ {ea:X}")
+```
+### 2. Wyodrębnij bajtowy kod dispatcher'a
+```python
+import idc
+
+def get_dispatcher_start(jmp_ea, count=9):
+s = jmp_ea
+for _ in range(count):
+s = idc.prev_head(s, 0)
+return s
+
+start = get_dispatcher_start(jmp_ea)
+size  = jmp_ea + idc.get_item_size(jmp_ea) - start
+code  = idc.get_bytes(start, size)
+open(f"{start:X}.bin", "wb").write(code)
+```
+### 3. Emuluj to dwa razy za pomocą Unicorn
+```python
+from unicorn import *
+from unicorn.x86_const import *
+import struct
+
+def run(code, zf=0, cf=0):
+BASE = 0x1000
+mu = Uc(UC_ARCH_X86, UC_MODE_64)
+mu.mem_map(BASE, 0x1000)
+mu.mem_write(BASE, code)
+mu.reg_write(UC_X86_REG_RFLAGS, (zf << 6) | cf)
+mu.reg_write(UC_X86_REG_RAX, 0)
+mu.emu_start(BASE, BASE+len(code))
+return mu.reg_read(UC_X86_REG_RAX)
+```
+Uruchom `run(code,0,0)` i `run(code,1,1)`, aby uzyskać cele gałęzi *fałszywej* i *prawdziwej*.
+
+### 4. Napraw bezpośredni skok / wywołanie
+```python
+import struct, ida_bytes
+
+def patch_direct(ea, target, is_call=False):
+op   = 0xE8 if is_call else 0xE9           # CALL rel32 or JMP rel32
+disp = target - (ea + 5) & 0xFFFFFFFF
+ida_bytes.patch_bytes(ea, bytes([op]) + struct.pack('<I', disp))
+```
+Po załataniu wymuś na IDA ponowną analizę funkcji, aby przywrócić pełny CFG i wyjście Hex-Rays:
+```python
+import ida_auto, idaapi
+idaapi.reanalyze_function(idc.get_func_attr(ea, idc.FUNCATTR_START))
+```
+### 5. Oznacz pośrednie wywołania API
+
+Gdy znana jest prawdziwa destynacja każdego `call rax`, możesz powiedzieć IDA, co to jest, aby typy parametrów i nazwy zmiennych zostały automatycznie odzyskane:
+```python
+idc.set_callee_name(call_ea, resolved_addr, 0)  # IDA 8.3+
+```
+### Praktyczne korzyści
+
+* Przywraca prawdziwy CFG → dekompilacja przechodzi z *10* linii do tysięcy.
+* Umożliwia krzyżowe odniesienia do ciągów i xrefs, co sprawia, że rekonstrukcja zachowania jest trywialna.
+* Skrypty są wielokrotnego użytku: wrzuć je do dowolnego loadera chronionego tym samym trikiem.
+
+---
+
+## Odniesienia
+
+- [Unit42 – Evolving Tactics of SLOW#TEMPEST: A Deep Dive Into Advanced Malware Techniques](https://unit42.paloaltonetworks.com/slow-tempest-malware-obfuscation/)
 
 {{#include ../../banners/hacktricks-training.md}}