Linces Posted July 17, 2020 at 04:55 PM Share Posted July 17, 2020 at 04:55 PM Eu preciso saber mais a respeito de engenharia reversa em executaveis windows assinados digitalmente. Como lidar com isso? Todo tipo de material me ajuda, alguém poderia me informar materiais de estudo? Video, tutorias, papers, qualquer coisa. Se alguém com experiência quiser falar mais a respeito também ajuda. Muito Obrigado. Link to comment Share on other sites More sharing options...
Supporter - Nibble anderson_leite Posted July 17, 2020 at 06:46 PM Supporter - Nibble Share Posted July 17, 2020 at 06:46 PM Alguns documentos da microsoft sobre. https://docs.microsoft.com/en-us/windows/win32/seccrypto/cryptography-tools https://docs.microsoft.com/en-us/windows/win32/seccrypto/signtool Link to comment Share on other sites More sharing options...
Moderators Leandro Fróes Posted July 17, 2020 at 07:04 PM Moderators Share Posted July 17, 2020 at 07:04 PM Opa, poderia ser mais específico? O que quer saber exatamente? Dependendo do que você quer saber não tem necessidade de ler toda uma documentação. Link to comment Share on other sites More sharing options...
Administrators Fernando Mercês Posted July 19, 2020 at 01:43 PM Administrators Share Posted July 19, 2020 at 01:43 PM E não muda a análise. Reversa num binário assinado ou não, tanto faz que eu saiba. ? Link to comment Share on other sites More sharing options...
Linces Posted July 19, 2020 at 03:37 PM Author Share Posted July 19, 2020 at 03:37 PM Primeiramente, muito obrigado pelo retorno de todos. Como posso remover a assinatura digital? Executáveis que tem rotina para checar se foi alterada a assinatura/binário. Estou "revertendo" um aqui assim, já adiantando que uma simples "des" assinatura usando uma ferramenta como o UnsignTool por exemplo, não adianta, pois falta ainda as rotinas que fazem a checagem. Veja abaixo: Link to comment Share on other sites More sharing options...
Linces Posted July 20, 2020 at 04:32 PM Author Share Posted July 20, 2020 at 04:32 PM Acho que eu deveria reformular a minha dúvida....Bom, vamos la: O binário além de assinado digitalmente, esta "packeado" pelo upx. Segue: 1 - Binário original "packed" e assinado: 2 - Binário "unpacked", e sessão da assinatura destruída: E ao executar o binário "unpacked", temos isso: Assinatura logicamente foi removida no processo de descompactação, minha primeira dúvida é: "Ele foi assinado após passar pelo upx? Ou antes?": Minha segunda dúvida é, teria como eu reconstruir essa sessão da assinatura depois de descompactado o binário? Ou eu deveria tentar retirar a checagem da assinatura? Que abordagem vcs sugerem para resolver isso? Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.