A analista de malware polonesa hasherezade, que desenvolveu uma ferramenta para engenharia reversa/análise de malware chamada PE-Sieve, adicionou uma opção para reconstruir a IAT (Import Address Table) de executáveis PE na última versão da ferramenta, mas ao testar o recurso com um executável comprimido com UPX, ela percebeu que não estava funcionando muito bem.
Ela descobriu, porém, que a importação de uma função da USER32.DLL não se dava diretamente. Ao invés disso, o loader do Windows resolveu uma chamada intermediária (processo conhecido como shimming) e isso impedia que a importação fosse reconstruída na IAT pelo PE-Sieve ou qualquer outro programa que tentasse a reconstrução.
No texto, em inglês, ela mostra como resolveu esse problema mexendo na estrutura do arquivo PE (olha aí a importância de conhecer a estrutura destes executáveis), o que alterou a forma como o loader o interpretou. Em sua explicação, hasherezade descreve todos os testes que fez. Vai lá dar uma olhada nesse passo a passo incrível e explicativo! ?♀️
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.