Jump to content

Ajuda com um executável.


yuri

Recommended Posts

Olá pessoal!!! Já fui apoiador por um bom tempo aqui e pretendo voltar pois o caonteúdo e profissionais são excelentes!!

Estou tentando entende o funcionamento de um executável para criar outro aplicativo que execute uma função similar porém não estou conseguindo muito sucesso na análise.

É um executável pequeno, 55Kb. É um software freeware e portanto não quero burlar, craquer, nada disso. Apenas utilizar a engenharia reversa para aprender algo que eu estou quebrando a cabeça para resolver, até consegui, porém com um desempenho muito menor que o executável que quero analisar.

Se alguém puder dar um help e trocar ideia sobre agradeço, até como forma de estudar tb!! :)

Um resumo do DIE.

 

 

Screen Shot 2020-10-31 at 18.09.02.png

Link to comment
Share on other sites

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

 

 

 

Link to comment
Share on other sites

Achei minhas anotações do curso!! Foi TOP!!!! Tenho 98 páginas de anotações....

Muito legal... relembrei até a história dos números associados a contagem com pedras.. e dai o termo cálculus... SHOW!!!!!

Muito bom recordar!! Vou continuar rever o curso e avançar na análise desse executável!!

Parabéns Fernando!! 

 

Link to comment
Share on other sites

Continuando com as análises juntamente com o estudo do curso!!

BaseAddress: 00400000
EntryPoint: 0040d4ee

Porém o VirtualAddress é de: 00001000

Em um exemplo do curso, o VirtualAddress bateu com o EntryPoint, neste não.

Portanto o início acho que seria 80d4ee.

Ou além disso teria que somar o VirtualAddress de 000010000?

 

Screen Shot 2020-11-06 at 23.34.02.png

Link to comment
Share on other sites

On 11/5/2020 at 10:32 PM, yuri said:

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

Eai, yuri.

Se quiser verificar as "operações" tem softwares melhores pra isso.

Dá uma olhada nas ferramentas da SysInternals.. Tem várias lá que podem ser bem úteis.
Pelo PExplorer você consegue monitorar todos os eventos e "operações" que esse software faz. Roda o utilitário, roda o programa e salva o log de operações.. Depois é só analisar o que precisa.

Abs

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...