Jump to content

Executaveis windows assinados digitalmente.

Featured Replies

Posted

Eu preciso saber mais a respeito de engenharia reversa em executaveis windows assinados digitalmente.

Como lidar com isso?

Todo tipo de material me ajuda, alguém poderia me informar materiais de estudo? Video, tutorias, papers, qualquer coisa. 

Se alguém com experiência quiser falar mais a respeito também ajuda.

Muito Obrigado.

Edited by Linces

  • Supporter - Nibble

Alguns documentos da microsoft sobre.

https://docs.microsoft.com/en-us/windows/win32/seccrypto/cryptography-tools

https://docs.microsoft.com/en-us/windows/win32/seccrypto/signtool

 

  • Author

Primeiramente, muito obrigado pelo retorno de todos.

Como posso remover a assinatura digital?  Executáveis que tem rotina para checar se foi alterada a assinatura/binário.

Estou "revertendo" um aqui assim, já adiantando que uma simples "des" assinatura usando uma ferramenta como o UnsignTool por exemplo, não adianta, pois falta ainda as rotinas que fazem a checagem.  

 

Veja abaixo:

 

pvsyst1.jpg

Edited by Linces

  • Author

Acho que eu deveria reformular a minha dúvida....Bom, vamos la:

O binário além de assinado digitalmente, esta "packeado" pelo upx. Segue:

1 - Binário original "packed" e assinado:

packed.thumb.jpg.17ec4f7077dcd5236deb6b7baffb8683.jpg

2 - Binário "unpacked", e sessão da assinatura destruída:

unpacked.thumb.jpg.72538e47a338377925918d9548f692e8.jpg

E ao executar o binário "unpacked", temos isso:

unpacked2.jpg.cdb51448241c1b26d410b8cc1310cd89.jpg

Assinatura  logicamente foi removida no processo de descompactação, minha primeira dúvida é: "Ele foi assinado após passar pelo upx? Ou antes?": 

Minha segunda dúvida é, teria como eu reconstruir essa sessão da assinatura depois de descompactado o binário? Ou eu deveria tentar retirar a checagem da assinatura?

Que abordagem vcs sugerem para resolver isso?

 

 

 

 

 

Archived

This topic is now archived and is closed to further replies.

Recently Browsing 0

  • No registered users viewing this page.