Zemthos

Boa tarde, Ana. Na realidade, o que importa é saber qual valor você quer usar (seja para carregar num registrador, para fazer um jump, para uma instrução de teste etc...). Uma vez que você tenha determinado o valor, é só uma questão de encontrar a melhor forma de inserí-lo no fonte assembler. Digamos que você queira carregar o valor 71 no registrador AX. Dá para fazer de várias formas, entre elas: mov ax, 71 # decimal mov ax, '71' # character string mov ax, 0x47 # hexa mov ax, 0q107 #octal mov ax, 01000111b # binary A lista é longa, pode ler aqui https://www.nasm.us/doc/nasmdoc3.html Qual destes formatos deve ser usado? Não existe uma regra rígida, o que às vezes é determinante é o que está sendo desenvolvido: uma rotina de tratamento de strings pode ser melhor compreendida se você colocar os caracteres ASCII, ao invés de outros formatos. A propósito, para melhorar a legibilidade do programa é uma boa prática usar a diretiva EQU: tamanho EQU 0x10 Assim, ao invés de usar um valor numa instrução emprega-se o símbolo: mov ax, tamanho

De 28 a 31/08/2023 ocorrerá o Interforensics em Brasília https://interforensics.com/. Há uma trilha do Iccyber https://interforensics.com/evento/interforensics2023/programacao/lista?areas[]=774. No dia 28 estão sendo ofertados minicursos que podem ser de interesse, mas que dependem de uma quantidade mínima de inscritos, entre eles: - Minicurso 15: WORKSHOP EM ANÁLISE FORENSE DE ARQUIVOS .MSI - HORÁRIO: 14h00 às 18h00 - Minicurso 17: A IMPORTÂNCIA DA ANÁLISE DE MEMÓRIA PARA ULTRAPASSAR CRIPTOGRAFIAS

https://nostarch.com/evasive-malware Pré-lançamento do livro Evasive Malware. Além de um cupom de desconto, no site da nostarch é possível receber capítulos antecipadamente. No momento está disponível até o Capítulo 7. Boa leitura!

Foi criado Msi Dump https://github.com/mgeeky/msidump, do site https://binary-offensive.com/. É mais uma ferramenta de apoio à análise de arquivos .msi, que além da extração dos artefatos do arquivo, permite a execução de regras Yara. Há diversas ferramentas para analisar este tipo de arquivo, e algumas se aplicam melhor dependendo da forma como o .msi foi gerado. Só falta testar, quando sobrar um tempinho.

A pergunta já tem 3 meses. Segue comentários, caso possa ser útil. Um arquivo .MSI nada mais é do que um container, em cujo interior podem ser encontrados executáveis, DLLs, scripts nas mais diversas linguagens, arquivos de recursos, imagens etc. Se um string estiver dentro de um MSI, pode estar em qualquer parte do conteúdo. Normalmente estará ofuscado, então uma pesquisa tradicional não vai encontrar, sendo necessário fazer uma análise mais aprofundada. O resultado gerado pelo Orca.exe nem sempre ajuda. Dica para uma tentativa rápida: se tiver o 7zip instalado, clique no MSI e faça a descompactação. O 7zip extrai cada arquivo do container (algumas vezes não funciona). Aí é só fazer uma pesquisa em todos os arquivos extraídos, e se não houver ofuscação o string será encontrado.