Jump to content

Thiago de Queiroz

Membros
  • Content Count

    14
  • Joined

  • Last visited

Posts posted by Thiago de Queiroz

  1. 18 hours ago, Fernando Mercês said:

    @Thiago de Queiroz seguem mais perguntas que surgiram no chat:

    1.Qual a diferença deste debug para o WinDbg?
    2. Este debug tmb converte o código para c?
    3. Isso funciona mesmo se o executável for gerado sem as diretivas de debug?
    4. Os endereços de memória das áreas de .txt, .data e .rsrc se encontram no cabeçalho PE?

    Abraço!

    1. A diferença básica é que windbg consegue trabalhar a nivel do kernel, debugar drivers, etc, e trabalha-se mais com comandos, enquanto o x64dbg ou o olly é voltado para depurar programas que estão em um nivel diferente, não se tem acesso a drivers do sistema inteiro, e é mais user-friendly ?
    2. Se você usar o plugin snowman sim, consegue ver o pseudo código em C.
    3. Sim, neste caso não usei diretivas de debug.
    4. Sim, desde que não seja um programa packeado, que criaria essa área na memória em tempo de execução e protegeria o seu acesso. No geral sim, no cabeçalho PE.
    5. Não tem o número 5. ? 
    • Haha 1
  2. Obrigado! A violação de acesso pode ser por uma exceção não tratada no software, algum bloco try catch que não foi devidamente capturada.

    Geralmente você pode ignorar as exceções com shift+f9, ou ir nas opçoes do depurador e repassar essas exceçoes para o software ao invés de tratá-las no debugger.

    Pode ser também algum packer utilizado. 

     

    Abraço!

  3. Thiago é um engenheiro reverso das antigas e programador há mais de 20 anos em diversas linguagens. Ele vai mostrar uns segredos no processo de debugging, pra encontrar variáveis locais e outros truques que não estão nos livros e só a experiência traz mesmo!

  4. 1 hora atrás, Aof disse:

    muito bom @Thiago de Queiroz só faltou vc seguir o modelo de analise padrão daqui do forum que o @Fernando Mercês não mencionou acima.

     

      Mostrar conteúdo oculto
    • Tipo de arquivo: PE EXE
    • Compilador/linguagem: Borland C++
    • Protector/packer: Nenhum
    • SHA-256: 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08
    • Strings interessantes: X, Y, Z
    • Funções locais maliciosas: 405040 (faz tal coisa), 403570 (faz coisa e tal)
    • Chamadas à API do Windows e outras bibliotecas: CreateWindowExA(parâmetros), InternetOpenFileA(parâmetros)...
    • Atividades de rede: resolve o domínio X, baixa Y da URL Z
    • O que o binário faz em linhas gerais: Rouba as senhas armazenadas no browser.
    • O que foi modificado no sistema: o arquivo X é criado e uma chave de registro é adicionada em HKLM\Microsoft\Windows\CurrentVersion\Run com o valor c:\binario.exe

     

    Obrigado! Me desculpe eu nao sabia deste modelo de post... ? Abraco

  5. Olá Merceix!

     

    Segue minha análise rápida;

    Spoiler

    Primeiro testa se está executando em um ambiente virtualizado, procurando a existência destes dois arquivos.

    C:\Program Files\Oracle\VirtualBox Guest Additions\DIFxAPI.dll

    C:\windows\System32\Drivers\Vmmouse.sys

     

    Se algum deles existir, então ele termina a execução. 

    Se não, ele abre uma conexão com o site http://2016.eicar.org/download/eicar.com ,

    usando o User-Agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" e salva o conteúdo em um arquivo chamado payload.exe na pasta temporária do usuário.

     

    Fim rs

     

    • Curtir 1
    • Haha 1
  6. Bom, juro que não vi a solução:

     

    Primeiro, analisei o programa e vi que ele esperava receber 2 parâmetros. 

    Testava o primeiro se era igual a Z e o segundo se era igual a 2.

    Coloquei os dois conforme ele esperava, e ele me pediu a senha.

    Fez algumas operações com um texto flag(...1337_MENTE_BIN...) , descartando os pontos e os numeros e os ( ), ficando apenas flagMENTE_BIN

    Depois disso ele printou essa tela:

     

    Want some...
     b e e f ?
    Please_Sir_What_Is_The_Password_To_Release_Me:
    flagMENTE_BIN

    flag(...1337_MENTE_BIN...)

    ``There is no future. There is no past. Do you see? Time is simultaneous, an intricately structured jewel that humans insist on viewing one edge at a time, when the whole design is visible in every facet.``

    • Curtir 2
×
×
  • Create New...