yuri Postado Outubro 31, 2020 em 21:10 Compartilhar Postado Outubro 31, 2020 em 21:10 Olá pessoal!!! Já fui apoiador por um bom tempo aqui e pretendo voltar pois o caonteúdo e profissionais são excelentes!! Estou tentando entende o funcionamento de um executável para criar outro aplicativo que execute uma função similar porém não estou conseguindo muito sucesso na análise. É um executável pequeno, 55Kb. É um software freeware e portanto não quero burlar, craquer, nada disso. Apenas utilizar a engenharia reversa para aprender algo que eu estou quebrando a cabeça para resolver, até consegui, porém com um desempenho muito menor que o executável que quero analisar. Se alguém puder dar um help e trocar ideia sobre agradeço, até como forma de estudar tb!! :) Um resumo do DIE. Link para o comentário Compartilhar em outros sites More sharing options...
fredericopissarra Postado Outubro 31, 2020 em 21:36 Compartilhar Postado Outubro 31, 2020 em 21:36 Se é "freeware" então, com toda certeza, o código fonte está disponível, não? Link para o comentário Compartilhar em outros sites More sharing options...
Administradores Fernando Mercês Postado Novembro 1, 2020 em 23:13 Administradores Compartilhar Postado Novembro 1, 2020 em 23:13 Na verdade freeware é software gratuito, não necessariamente de código de aberto. ;-)Em princípio um upx -d resolve a remoção do UPX aí, mas aí tem que ver o que você quer e parar onde quer, etc. Vai postando aqui o progresso, assim todo mundo aprende/participa.E obrigado pelo apoio! ?Abraço! Link para o comentário Compartilhar em outros sites More sharing options...
yuri Postado Novembro 5, 2020 em 00:47 Autor Compartilhar Postado Novembro 5, 2020 em 00:47 É isso mesmo Frederico, como nosso mestre comentou, nem sempre freeware tem o código fonte disponível, ex. Whatsapp e muitos outros..... Vou continuar com os estudos e posto aqui o que conseguir. Se alguém quiser participar, passo o executável para discutirmos. Obrigado! ? Link para o comentário Compartilhar em outros sites More sharing options...
yuri Postado Novembro 5, 2020 em 00:51 Autor Compartilhar Postado Novembro 5, 2020 em 00:51 Após unpack (upx - d). De 55kb foi para 93kb. Tela do DIE. Link para o comentário Compartilhar em outros sites More sharing options...
Administradores Fernando Mercês Postado Novembro 5, 2020 em 16:02 Administradores Compartilhar Postado Novembro 5, 2020 em 16:02 15 horas atrás, yuri disse: Após unpack (upx - d). De 55kb foi para 93kb. Yep, e depois você seguiu? Link para o comentário Compartilhar em outros sites More sharing options...
yuri Postado Novembro 6, 2020 em 01:32 Autor Compartilhar Postado Novembro 6, 2020 em 01:32 Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes. É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ? Link para o comentário Compartilhar em outros sites More sharing options...
yuri Postado Novembro 7, 2020 em 00:54 Autor Compartilhar Postado Novembro 7, 2020 em 00:54 Achei minhas anotações do curso!! Foi TOP!!!! Tenho 98 páginas de anotações.... Muito legal... relembrei até a história dos números associados a contagem com pedras.. e dai o termo cálculus... SHOW!!!!! Muito bom recordar!! Vou continuar rever o curso e avançar na análise desse executável!! Parabéns Fernando!! Link para o comentário Compartilhar em outros sites More sharing options...
yuri Postado Novembro 7, 2020 em 02:40 Autor Compartilhar Postado Novembro 7, 2020 em 02:40 Continuando com as análises juntamente com o estudo do curso!! BaseAddress: 00400000 EntryPoint: 0040d4ee Porém o VirtualAddress é de: 00001000 Em um exemplo do curso, o VirtualAddress bateu com o EntryPoint, neste não. Portanto o início acho que seria 80d4ee. Ou além disso teria que somar o VirtualAddress de 000010000? Link para o comentário Compartilhar em outros sites More sharing options...
Pimptech Postado Novembro 14, 2020 em 19:16 Compartilhar Postado Novembro 14, 2020 em 19:16 On 11/5/2020 at 10:32 PM, yuri said: Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes. É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ? Eai, yuri. Se quiser verificar as "operações" tem softwares melhores pra isso. https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer https://processhacker.sourceforge.io/ Dá uma olhada nas ferramentas da SysInternals.. Tem várias lá que podem ser bem úteis. Pelo PExplorer você consegue monitorar todos os eventos e "operações" que esse software faz. Roda o utilitário, roda o programa e salva o log de operações.. Depois é só analisar o que precisa. Abs Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.