yuri Posted October 31, 2020 Posted October 31, 2020 Olá pessoal!!! Já fui apoiador por um bom tempo aqui e pretendo voltar pois o caonteúdo e profissionais são excelentes!! Estou tentando entende o funcionamento de um executável para criar outro aplicativo que execute uma função similar porém não estou conseguindo muito sucesso na análise. É um executável pequeno, 55Kb. É um software freeware e portanto não quero burlar, craquer, nada disso. Apenas utilizar a engenharia reversa para aprender algo que eu estou quebrando a cabeça para resolver, até consegui, porém com um desempenho muito menor que o executável que quero analisar. Se alguém puder dar um help e trocar ideia sobre agradeço, até como forma de estudar tb!! :) Um resumo do DIE.
fredericopissarra Posted October 31, 2020 Posted October 31, 2020 Se é "freeware" então, com toda certeza, o código fonte está disponível, não?
Administrators Fernando Mercês Posted November 1, 2020 Administrators Posted November 1, 2020 Na verdade freeware é software gratuito, não necessariamente de código de aberto. ;-)Em princípio um upx -d resolve a remoção do UPX aí, mas aí tem que ver o que você quer e parar onde quer, etc. Vai postando aqui o progresso, assim todo mundo aprende/participa.E obrigado pelo apoio! ?Abraço!
yuri Posted November 5, 2020 Author Posted November 5, 2020 É isso mesmo Frederico, como nosso mestre comentou, nem sempre freeware tem o código fonte disponível, ex. Whatsapp e muitos outros..... Vou continuar com os estudos e posto aqui o que conseguir. Se alguém quiser participar, passo o executável para discutirmos. Obrigado! ?
yuri Posted November 5, 2020 Author Posted November 5, 2020 Após unpack (upx - d). De 55kb foi para 93kb. Tela do DIE.
Administrators Fernando Mercês Posted November 5, 2020 Administrators Posted November 5, 2020 15 horas atrás, yuri disse: Após unpack (upx - d). De 55kb foi para 93kb. Yep, e depois você seguiu?
yuri Posted November 6, 2020 Author Posted November 6, 2020 Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes. É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?
yuri Posted November 7, 2020 Author Posted November 7, 2020 Achei minhas anotações do curso!! Foi TOP!!!! Tenho 98 páginas de anotações.... Muito legal... relembrei até a história dos números associados a contagem com pedras.. e dai o termo cálculus... SHOW!!!!! Muito bom recordar!! Vou continuar rever o curso e avançar na análise desse executável!! Parabéns Fernando!!
yuri Posted November 7, 2020 Author Posted November 7, 2020 Continuando com as análises juntamente com o estudo do curso!! BaseAddress: 00400000 EntryPoint: 0040d4ee Porém o VirtualAddress é de: 00001000 Em um exemplo do curso, o VirtualAddress bateu com o EntryPoint, neste não. Portanto o início acho que seria 80d4ee. Ou além disso teria que somar o VirtualAddress de 000010000?
Pimptech Posted November 14, 2020 Posted November 14, 2020 On 11/5/2020 at 10:32 PM, yuri said: Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes. É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ? Eai, yuri. Se quiser verificar as "operações" tem softwares melhores pra isso. https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer https://processhacker.sourceforge.io/ Dá uma olhada nas ferramentas da SysInternals.. Tem várias lá que podem ser bem úteis. Pelo PExplorer você consegue monitorar todos os eventos e "operações" que esse software faz. Roda o utilitário, roda o programa e salva o log de operações.. Depois é só analisar o que precisa. Abs
Recommended Posts
Archived
This topic is now archived and is closed to further replies.