Ir para conteúdo

Ajuda com um executável.


yuri

Posts Recomendados

Olá pessoal!!! Já fui apoiador por um bom tempo aqui e pretendo voltar pois o caonteúdo e profissionais são excelentes!!

Estou tentando entende o funcionamento de um executável para criar outro aplicativo que execute uma função similar porém não estou conseguindo muito sucesso na análise.

É um executável pequeno, 55Kb. É um software freeware e portanto não quero burlar, craquer, nada disso. Apenas utilizar a engenharia reversa para aprender algo que eu estou quebrando a cabeça para resolver, até consegui, porém com um desempenho muito menor que o executável que quero analisar.

Se alguém puder dar um help e trocar ideia sobre agradeço, até como forma de estudar tb!! :)

Um resumo do DIE.

 

 

Screen Shot 2020-10-31 at 18.09.02.png

Link para o comentário
Compartilhar em outros sites

Na verdade freeware é software gratuito, não necessariamente de código de aberto. ;-)

Em princípio um upx -d resolve a remoção do UPX aí, mas aí tem que ver o que você quer e parar onde quer, etc. Vai postando aqui o progresso, assim todo mundo aprende/participa.

E obrigado pelo apoio! ?

Abraço!

Link para o comentário
Compartilhar em outros sites

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

 

 

 

Link para o comentário
Compartilhar em outros sites

Achei minhas anotações do curso!! Foi TOP!!!! Tenho 98 páginas de anotações....

Muito legal... relembrei até a história dos números associados a contagem com pedras.. e dai o termo cálculus... SHOW!!!!!

Muito bom recordar!! Vou continuar rever o curso e avançar na análise desse executável!!

Parabéns Fernando!! 

 

Link para o comentário
Compartilhar em outros sites

Continuando com as análises juntamente com o estudo do curso!!

BaseAddress: 00400000
EntryPoint: 0040d4ee

Porém o VirtualAddress é de: 00001000

Em um exemplo do curso, o VirtualAddress bateu com o EntryPoint, neste não.

Portanto o início acho que seria 80d4ee.

Ou além disso teria que somar o VirtualAddress de 000010000?

 

Screen Shot 2020-11-06 at 23.34.02.png

Link para o comentário
Compartilhar em outros sites

On 11/5/2020 at 10:32 PM, yuri said:

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

Eai, yuri.

Se quiser verificar as "operações" tem softwares melhores pra isso.

Dá uma olhada nas ferramentas da SysInternals.. Tem várias lá que podem ser bem úteis.
Pelo PExplorer você consegue monitorar todos os eventos e "operações" que esse software faz. Roda o utilitário, roda o programa e salva o log de operações.. Depois é só analisar o que precisa.

Abs

Link para o comentário
Compartilhar em outros sites

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...