Jump to content
Linces

Executaveis windows assinados digitalmente.

 Read less than a minute

Recommended Posts

Posted (edited)
 Read less than a minute

Eu preciso saber mais a respeito de engenharia reversa em executaveis windows assinados digitalmente.

Como lidar com isso?

Todo tipo de material me ajuda, alguém poderia me informar materiais de estudo? Video, tutorias, papers, qualquer coisa. 

Se alguém com experiência quiser falar mais a respeito também ajuda.

Muito Obrigado.

Edited by Linces

Share this post


Link to post
Share on other sites
 Read less than a minute

Alguns documentos da microsoft sobre.

https://docs.microsoft.com/en-us/windows/win32/seccrypto/cryptography-tools

https://docs.microsoft.com/en-us/windows/win32/seccrypto/signtool

 

Share this post


Link to post
Share on other sites
 Read less than a minute

Opa, poderia ser mais específico? O que quer saber exatamente? Dependendo do que você quer saber não tem necessidade de ler toda uma documentação.

Share this post


Link to post
Share on other sites
Posted (edited)
 Read less than a minute

Primeiramente, muito obrigado pelo retorno de todos.

Como posso remover a assinatura digital?  Executáveis que tem rotina para checar se foi alterada a assinatura/binário.

Estou "revertendo" um aqui assim, já adiantando que uma simples "des" assinatura usando uma ferramenta como o UnsignTool por exemplo, não adianta, pois falta ainda as rotinas que fazem a checagem.  

 

Veja abaixo:

 

pvsyst1.jpg

Edited by Linces

Share this post


Link to post
Share on other sites
 Read less than a minute

Acho que eu deveria reformular a minha dúvida....Bom, vamos la:

O binário além de assinado digitalmente, esta "packeado" pelo upx. Segue:

1 - Binário original "packed" e assinado:

packed.thumb.jpg.17ec4f7077dcd5236deb6b7baffb8683.jpg

2 - Binário "unpacked", e sessão da assinatura destruída:

unpacked.thumb.jpg.72538e47a338377925918d9548f692e8.jpg

E ao executar o binário "unpacked", temos isso:

unpacked2.jpg.cdb51448241c1b26d410b8cc1310cd89.jpg

Assinatura  logicamente foi removida no processo de descompactação, minha primeira dúvida é: "Ele foi assinado após passar pelo upx? Ou antes?": 

Minha segunda dúvida é, teria como eu reconstruir essa sessão da assinatura depois de descompactado o binário? Ou eu deveria tentar retirar a checagem da assinatura?

Que abordagem vcs sugerem para resolver isso?

 

 

 

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...