Jump to content

Ajuda com um executável.


yuri

Recommended Posts

Posted

Olá pessoal!!! Já fui apoiador por um bom tempo aqui e pretendo voltar pois o caonteúdo e profissionais são excelentes!!

Estou tentando entende o funcionamento de um executável para criar outro aplicativo que execute uma função similar porém não estou conseguindo muito sucesso na análise.

É um executável pequeno, 55Kb. É um software freeware e portanto não quero burlar, craquer, nada disso. Apenas utilizar a engenharia reversa para aprender algo que eu estou quebrando a cabeça para resolver, até consegui, porém com um desempenho muito menor que o executável que quero analisar.

Se alguém puder dar um help e trocar ideia sobre agradeço, até como forma de estudar tb!! :)

Um resumo do DIE.

 

 

Screen Shot 2020-10-31 at 18.09.02.png

  • Administrators
Posted

Na verdade freeware é software gratuito, não necessariamente de código de aberto. ;-)

Em princípio um upx -d resolve a remoção do UPX aí, mas aí tem que ver o que você quer e parar onde quer, etc. Vai postando aqui o progresso, assim todo mundo aprende/participa.

E obrigado pelo apoio! ?

Abraço!

Posted

É isso mesmo Frederico, como nosso mestre comentou, nem sempre freeware tem o código fonte disponível, ex. Whatsapp e muitos outros.....
Vou continuar com os estudos e posto aqui o que conseguir.

Se alguém quiser participar, passo o executável para discutirmos.

Obrigado! ?

Posted

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

 

 

 

Posted

Achei minhas anotações do curso!! Foi TOP!!!! Tenho 98 páginas de anotações....

Muito legal... relembrei até a história dos números associados a contagem com pedras.. e dai o termo cálculus... SHOW!!!!!

Muito bom recordar!! Vou continuar rever o curso e avançar na análise desse executável!!

Parabéns Fernando!! 

 

Posted

Continuando com as análises juntamente com o estudo do curso!!

BaseAddress: 00400000
EntryPoint: 0040d4ee

Porém o VirtualAddress é de: 00001000

Em um exemplo do curso, o VirtualAddress bateu com o EntryPoint, neste não.

Portanto o início acho que seria 80d4ee.

Ou além disso teria que somar o VirtualAddress de 000010000?

 

Screen Shot 2020-11-06 at 23.34.02.png

Posted
On 11/5/2020 at 10:32 PM, yuri said:

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

Eai, yuri.

Se quiser verificar as "operações" tem softwares melhores pra isso.

Dá uma olhada nas ferramentas da SysInternals.. Tem várias lá que podem ser bem úteis.
Pelo PExplorer você consegue monitorar todos os eventos e "operações" que esse software faz. Roda o utilitário, roda o programa e salva o log de operações.. Depois é só analisar o que precisa.

Abs

Archived

This topic is now archived and is closed to further replies.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...