yuri 6 Posted October 31, 2020 Share Posted October 31, 2020 Olá pessoal!!! Já fui apoiador por um bom tempo aqui e pretendo voltar pois o caonteúdo e profissionais são excelentes!! Estou tentando entende o funcionamento de um executável para criar outro aplicativo que execute uma função similar porém não estou conseguindo muito sucesso na análise. É um executável pequeno, 55Kb. É um software freeware e portanto não quero burlar, craquer, nada disso. Apenas utilizar a engenharia reversa para aprender algo que eu estou quebrando a cabeça para resolver, até consegui, porém com um desempenho muito menor que o executável que quero analisar. Se alguém puder dar um help e trocar ideia sobre agradeço, até como forma de estudar tb!! :) Um resumo do DIE. Quote Link to post Share on other sites
fredericopissarra 268 Posted October 31, 2020 Share Posted October 31, 2020 Se é "freeware" então, com toda certeza, o código fonte está disponível, não? Quote Link to post Share on other sites
Fernando Mercês 0 Posted November 1, 2020 Share Posted November 1, 2020 Na verdade freeware é software gratuito, não necessariamente de código de aberto. ;-)Em princípio um upx -d resolve a remoção do UPX aí, mas aí tem que ver o que você quer e parar onde quer, etc. Vai postando aqui o progresso, assim todo mundo aprende/participa.E obrigado pelo apoio! ?Abraço! Quote Link to post Share on other sites
yuri 6 Posted November 5, 2020 Author Share Posted November 5, 2020 É isso mesmo Frederico, como nosso mestre comentou, nem sempre freeware tem o código fonte disponível, ex. Whatsapp e muitos outros..... Vou continuar com os estudos e posto aqui o que conseguir. Se alguém quiser participar, passo o executável para discutirmos. Obrigado! ? Quote Link to post Share on other sites
yuri 6 Posted November 5, 2020 Author Share Posted November 5, 2020 Após unpack (upx - d). De 55kb foi para 93kb. Tela do DIE. Quote Link to post Share on other sites
Fernando Mercês 0 Posted November 5, 2020 Share Posted November 5, 2020 15 horas atrás, yuri disse: Após unpack (upx - d). De 55kb foi para 93kb. Yep, e depois você seguiu? Quote Link to post Share on other sites
yuri 6 Posted November 6, 2020 Author Share Posted November 6, 2020 Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes. É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ? 1 Quote Link to post Share on other sites
yuri 6 Posted November 7, 2020 Author Share Posted November 7, 2020 Achei minhas anotações do curso!! Foi TOP!!!! Tenho 98 páginas de anotações.... Muito legal... relembrei até a história dos números associados a contagem com pedras.. e dai o termo cálculus... SHOW!!!!! Muito bom recordar!! Vou continuar rever o curso e avançar na análise desse executável!! Parabéns Fernando!! 1 Quote Link to post Share on other sites
yuri 6 Posted November 7, 2020 Author Share Posted November 7, 2020 Continuando com as análises juntamente com o estudo do curso!! BaseAddress: 00400000 EntryPoint: 0040d4ee Porém o VirtualAddress é de: 00001000 Em um exemplo do curso, o VirtualAddress bateu com o EntryPoint, neste não. Portanto o início acho que seria 80d4ee. Ou além disso teria que somar o VirtualAddress de 000010000? Quote Link to post Share on other sites
Pimptech 38 Posted November 14, 2020 Share Posted November 14, 2020 On 11/5/2020 at 10:32 PM, yuri said: Estou dando uma olhada.Não tive muito tempo, mas vi que o EntryPoint mudou, é claro, mostrou uma seção a mais e agora as Strings estão coerentes. É que estou em um MAC agora, e quando fiz o curso e todas as anotações enquanto era apoiador foi no windows. Preciso pegar tudo que eu anotei e ir seguindo para entender melhor, pois no caso deste PE, meu objetivo não é verificar rotinas de segurança como senha, ou algum bloqueio e sim verificar os acessos que ele utiliza para fazer as operações. ? Eai, yuri. Se quiser verificar as "operações" tem softwares melhores pra isso. https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer https://processhacker.sourceforge.io/ Dá uma olhada nas ferramentas da SysInternals.. Tem várias lá que podem ser bem úteis. Pelo PExplorer você consegue monitorar todos os eventos e "operações" que esse software faz. Roda o utilitário, roda o programa e salva o log de operações.. Depois é só analisar o que precisa. Abs 1 Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.