Jump to content

rcimatti

Apoiadores
  • Content Count

    11
  • Joined

  • Last visited

Community Reputation

10 Good

About rcimatti

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Vira, segue abaixo algumas dicas pra tentar ajudar: Eu achei melhor não postar direto a solução pra poder tentar, mas se quiser posso te mandar. Abs!
  2. Boa tarde Leandro, blz? Segue aí minha análise para esse 'malware' um pouco diferente dos outros. Parabéns pelos desafios e abraço! Rafael
  3. Meio atrasado mas segue minha análise: Abs, Rafael
  4. Bom dia Leandro, blz? Segue minha análise abaixo. Se tiver algo faltando é só falar! Parabe´ns pelos desafios e boas festas, abs!
  5. Boa tarde Fernando, Segue um programa em python3 para decifrar as strings da mesma maneira que a função 401120: Abs, Rafael
  6. Boa tarde Leandro, Abaixo minha análise desse sample. Valeu e abs! Rafael
  7. Boa tarde Leandro, Sei que já está resolvido mas segue minha análise abaixo: Valeu pelo sample! Abs, Rafael
  8. Boa tarde Leandro, Legal essa ideia, parabéns! Aqui está o que achei: Abs, Rafael
  9. Claro, segue abaixo a saída do gdb do programa original: 0x08048427 <+28>: 83 7d f4 01 cmp DWORD PTR [ebp-0xc],0x1 0x0804842b <+32>: 75 06 jne 0x8048433 <main+40> 0x0804842d <+34>: 90 nop 0x0804842e <+35>: 90 nop 0x0804842f <+36>: 90 nop 0x08048430 <+37>: 90 nop 0x08048431 <+38>: eb 11 jmp 0x8048444 <main+57> 0x08048433 <+40>: 83 ec 0c sub esp,0xc E do programa alterado: 0x08048427 <+28>: 83 7d f4 01 cmp DWORD PTR [ebp-0xc],0x1 0x0804842b <+32>: 75 06 jne 0x8048433 <main+40> 0x0804842d <+34>: 68 44 84 04 08 push 0x8048444 0x08048432 <+39>: c3 ret 0x08048433 <+40>: 83 ec 0c sub esp,0xc Aproveitei pra anexar os binários aqui no post também. Abs, Rafael salto salto-original
  10. Bom dia Fabiano, Fiz o teste por aqui e funcionou sem problemas, será que o endereço do push está correto? Estou anexando o print do hte mostrando a parte modificada (e funcionando), se quiser o binário me avisa. Att, Rafael
  11. Um pouco atrasado mas segue: Etapa 1: 421-128-111 (string encontrada no binário); Etapa 2: UPX que é o empacotador utilizado; Etapa 3: O arquivo de código-fonte foi "cifrado" byte-a-byte pelo valor 7 (0x07), em anexo código original e código Python para "decifrar"; Valeu gzn, abs! secret.c dec.py
×
×
  • Create New...