Jump to content

Ajuda com um executável.


Recommended Posts

Olá pessoal!!! Já fui apoiador por um bom tempo aqui e pretendo voltar pois o caonteúdo e profissionais são excelentes!!

Estou tentando entende o funcionamento de um executável para criar outro aplicativo que execute uma função similar porém não estou conseguindo muito sucesso na análise.

É um executável pequeno, 55Kb. É um software freeware e portanto não quero burlar, craquer, nada disso. Apenas utilizar a engenharia reversa para aprender algo que eu estou quebrando a cabeça para resolver, até consegui, porém com um desempenho muito menor que o executável que quero analisar.

Se alguém puder dar um help e trocar ideia sobre agradeço, até como forma de estudar tb!! :)

Um resumo do DIE.

 

 

Screen Shot 2020-10-31 at 18.09.02.png

Link to post
Share on other sites

Na verdade freeware é software gratuito, não necessariamente de código de aberto. ;-)

Em princípio um upx -d resolve a remoção do UPX aí, mas aí tem que ver o que você quer e parar onde quer, etc. Vai postando aqui o progresso, assim todo mundo aprende/participa.

E obrigado pelo apoio! ?

Abraço!

Link to post
Share on other sites

É isso mesmo Frederico, como nosso mestre comentou, nem sempre freeware tem o código fonte disponível, ex. Whatsapp e muitos outros.....
Vou continuar com os estudos e posto aqui o que conseguir.

Se alguém quiser participar, passo o executável para discutirmos.

Obrigado! ?

Link to post
Share on other sites

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

 

 

 

  • Curtir 1
Link to post
Share on other sites

Achei minhas anotações do curso!! Foi TOP!!!! Tenho 98 páginas de anotações....

Muito legal... relembrei até a história dos números associados a contagem com pedras.. e dai o termo cálculus... SHOW!!!!!

Muito bom recordar!! Vou continuar rever o curso e avançar na análise desse executável!!

Parabéns Fernando!! 

 

  • Curtir 1
Link to post
Share on other sites

Continuando com as análises juntamente com o estudo do curso!!

BaseAddress: 00400000
EntryPoint: 0040d4ee

Porém o VirtualAddress é de: 00001000

Em um exemplo do curso, o VirtualAddress bateu com o EntryPoint, neste não.

Portanto o início acho que seria 80d4ee.

Ou além disso teria que somar o VirtualAddress de 000010000?

 

Screen Shot 2020-11-06 at 23.34.02.png

Link to post
Share on other sites
On 11/5/2020 at 10:32 PM, yuri said:

Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes.

É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ?

Eai, yuri.

Se quiser verificar as "operações" tem softwares melhores pra isso.

Dá uma olhada nas ferramentas da SysInternals.. Tem várias lá que podem ser bem úteis.
Pelo PExplorer você consegue monitorar todos os eventos e "operações" que esse software faz. Roda o utilitário, roda o programa e salva o log de operações.. Depois é só analisar o que precisa.

Abs

  • l33t 1
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...