Posted July 17, 20205 yr Eu preciso saber mais a respeito de engenharia reversa em executaveis windows assinados digitalmente. Como lidar com isso? Todo tipo de material me ajuda, alguém poderia me informar materiais de estudo? Video, tutorias, papers, qualquer coisa. Se alguém com experiência quiser falar mais a respeito também ajuda. Muito Obrigado. Edited July 17, 20205 yr by Linces
July 17, 20205 yr Supporter - Nibble Alguns documentos da microsoft sobre. https://docs.microsoft.com/en-us/windows/win32/seccrypto/cryptography-tools https://docs.microsoft.com/en-us/windows/win32/seccrypto/signtool
July 17, 20205 yr Moderators Opa, poderia ser mais específico? O que quer saber exatamente? Dependendo do que você quer saber não tem necessidade de ler toda uma documentação.
July 19, 20204 yr Administrators E não muda a análise. Reversa num binário assinado ou não, tanto faz que eu saiba. ?
July 19, 20204 yr Author Primeiramente, muito obrigado pelo retorno de todos. Como posso remover a assinatura digital? Executáveis que tem rotina para checar se foi alterada a assinatura/binário. Estou "revertendo" um aqui assim, já adiantando que uma simples "des" assinatura usando uma ferramenta como o UnsignTool por exemplo, não adianta, pois falta ainda as rotinas que fazem a checagem. Veja abaixo: Edited July 19, 20204 yr by Linces
July 20, 20204 yr Author Acho que eu deveria reformular a minha dúvida....Bom, vamos la: O binário além de assinado digitalmente, esta "packeado" pelo upx. Segue: 1 - Binário original "packed" e assinado: 2 - Binário "unpacked", e sessão da assinatura destruída: E ao executar o binário "unpacked", temos isso: Assinatura logicamente foi removida no processo de descompactação, minha primeira dúvida é: "Ele foi assinado após passar pelo upx? Ou antes?": Minha segunda dúvida é, teria como eu reconstruir essa sessão da assinatura depois de descompactado o binário? Ou eu deveria tentar retirar a checagem da assinatura? Que abordagem vcs sugerem para resolver isso?
Archived
This topic is now archived and is closed to further replies.