Jump to content
  • Engenharia reversa: Reconstruindo IAT com PE-Sieve


    Bruna Chieco

    A analista de malware polonesa hasherezade, que desenvolveu uma ferramenta para engenharia reversa/análise de malware chamada PE-Sieve, adicionou uma opção para reconstruir a IAT (Import Address Table) de executáveis PE na última versão da ferramenta, mas ao testar o recurso com um executável comprimido com UPX, ela percebeu que não estava funcionando muito bem.

    Ela descobriu, porém, que a importação de uma função da USER32.DLL não se dava diretamente. Ao invés disso, o loader do Windows resolveu uma chamada intermediária (processo conhecido como shimming) e isso impedia que a importação fosse reconstruída na IAT pelo PE-Sieve ou qualquer outro programa que tentasse a reconstrução. 

    No texto, em inglês, ela mostra como resolveu esse problema mexendo na estrutura do arquivo PE (olha aí a importância de conhecer a estrutura destes executáveis), o que alterou a forma como o loader o interpretou. Em sua explicação, hasherezade descreve todos os testes que fez. Vai lá dar uma olhada nesse passo a passo incrível e explicativo! ?‍♀️


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...