Jump to content

rcimatti

Membros
  • Content Count

    11
  • Joined

  • Last visited

Community Reputation

12 Good

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Vira, segue abaixo algumas dicas pra tentar ajudar: Eu achei melhor não postar direto a solução pra poder tentar, mas se quiser posso te mandar. Abs!
  2. Boa tarde Leandro, blz? Segue aí minha análise para esse 'malware' um pouco diferente dos outros. Parabéns pelos desafios e abraço! Rafael
  3. Meio atrasado mas segue minha análise: Abs, Rafael
  4. Bom dia Leandro, blz? Segue minha análise abaixo. Se tiver algo faltando é só falar! Parabe´ns pelos desafios e boas festas, abs!
  5. Boa tarde Fernando, Segue um programa em python3 para decifrar as strings da mesma maneira que a função 401120: Abs, Rafael
  6. Boa tarde Leandro, Abaixo minha análise desse sample. Valeu e abs! Rafael
  7. Boa tarde Leandro, Sei que já está resolvido mas segue minha análise abaixo: Valeu pelo sample! Abs, Rafael
  8. Boa tarde Leandro, Legal essa ideia, parabéns! Aqui está o que achei: Abs, Rafael
  9. Claro, segue abaixo a saída do gdb do programa original: 0x08048427 <+28>: 83 7d f4 01 cmp DWORD PTR [ebp-0xc],0x1 0x0804842b <+32>: 75 06 jne 0x8048433 <main+40> 0x0804842d <+34>: 90 nop 0x0804842e <+35>: 90 nop 0x0804842f <+36>: 90 nop 0x08048430 <+37>: 90 nop 0x08048431 <+38>: eb 11 jmp 0x8048444 <main+57> 0x08048433 <+40>: 83 ec 0c sub esp,0xc E do programa alterado: 0x08048427 <+28>: 83 7d f4 01 cmp D
  10. Bom dia Fabiano, Fiz o teste por aqui e funcionou sem problemas, será que o endereço do push está correto? Estou anexando o print do hte mostrando a parte modificada (e funcionando), se quiser o binário me avisa. Att, Rafael
  11. Um pouco atrasado mas segue: Etapa 1: 421-128-111 (string encontrada no binário); Etapa 2: UPX que é o empacotador utilizado; Etapa 3: O arquivo de código-fonte foi "cifrado" byte-a-byte pelo valor 7 (0x07), em anexo código original e código Python para "decifrar"; Valeu gzn, abs! secret.c dec.py
×
×
  • Create New...