Jump to content

rcimatti

Apoiadores
 View Profile  See their activity

  • Content Count

    11

  • Joined

  • Last visited

Community Reputation

10 Good

About rcimatti

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. rcimatti
    Vira, segue abaixo algumas dicas pra tentar ajudar: Eu achei melhor não postar direto a solução pra poder tentar, mas se quiser posso te mandar. Abs!
  2. rcimatti
    Boa tarde Leandro, blz? Segue aí minha análise para esse 'malware' um pouco diferente dos outros. Parabéns pelos desafios e abraço! Rafael
  3. rcimatti
    Meio atrasado mas segue minha análise: Abs, Rafael
  4. rcimatti
    Bom dia Leandro, blz? Segue minha análise abaixo. Se tiver algo faltando é só falar! Parabe´ns pelos desafios e boas festas, abs!
  5. rcimatti
    Boa tarde Fernando, Segue um programa em python3 para decifrar as strings da mesma maneira que a função 401120: Abs, Rafael
  6. rcimatti
    Boa tarde Leandro, Abaixo minha análise desse sample. Valeu e abs! Rafael
  7. rcimatti
    Boa tarde Leandro, Sei que já está resolvido mas segue minha análise abaixo: Valeu pelo sample! Abs, Rafael
  8. rcimatti
    Boa tarde Leandro, Legal essa ideia, parabéns! Aqui está o que achei: Abs, Rafael
  9. rcimatti
    Claro, segue abaixo a saída do gdb do programa original: 0x08048427 <+28>: 83 7d f4 01 cmp DWORD PTR [ebp-0xc],0x1 0x0804842b <+32>: 75 06 jne 0x8048433 <main+40> 0x0804842d <+34>: 90 nop 0x0804842e <+35>: 90 nop 0x0804842f <+36>: 90 nop 0x08048430 <+37>: 90 nop 0x08048431 <+38>: eb 11 jmp 0x8048444 <main+57> 0x08048433 <+40>: 83 ec 0c sub esp,0xc E do programa alterado: 0x08048427 <+28>: 83 7d f4 01 cmp DWORD PTR [ebp-0xc],0x1 0x0804842b <+32>: 75 06 jne 0x8048433 <main+40> 0x0804842d <+34>: 68 44 84 04 08 push 0x8048444 0x08048432 <+39>: c3 ret 0x08048433 <+40>: 83 ec 0c sub esp,0xc Aproveitei pra anexar os binários aqui no post também. Abs, Rafael salto salto-original
  10. rcimatti
    Bom dia Fabiano, Fiz o teste por aqui e funcionou sem problemas, será que o endereço do push está correto? Estou anexando o print do hte mostrando a parte modificada (e funcionando), se quiser o binário me avisa. Att, Rafael
  11. rcimatti
    Um pouco atrasado mas segue: Etapa 1: 421-128-111 (string encontrada no binário); Etapa 2: UPX que é o empacotador utilizado; Etapa 3: O arquivo de código-fonte foi "cifrado" byte-a-byte pelo valor 7 (0x07), em anexo código original e código Python para "decifrar"; Valeu gzn, abs! secret.c dec.py
×
×
  • Create New...