في هذه المقالة ، سنحلل كيف ولماذا يتم استخدام حزمة من الملفات القابلة للتنفيذ ، وكيفية العثور عليها
وتفريغها ، وحل المهمة الرابعة من الموقع
pwnable.kr .
المعلومات التنظيميةخاصةً لأولئك الذين يرغبون في تعلم شيء جديد وتطويره في أي من مجالات أمن المعلومات والحاسوب ، سأكتب وأتحدث عن الفئات التالية:
- PWN.
- التشفير (التشفير) ؛
- تقنيات الشبكات (الشبكة) ؛
- عكس (الهندسة العكسية) ؛
- إخفاء المعلومات (Stegano) ؛
- بحث واستغلال مواطن الضعف WEB.
بالإضافة إلى ذلك ، سوف أشارك تجربتي في الطب الشرعي للكمبيوتر ، وتحليل البرامج الضارة والبرامج الثابتة ، والهجمات على الشبكات اللاسلكية وشبكات المناطق المحلية ، وإجراء عمليات pentests واستغلال الكتابة.
حتى تتمكن من معرفة المقالات الجديدة والبرامج والمعلومات الأخرى ، أنشأت
قناة في Telegram ومجموعة لمناقشة أي مشاكل في مجال التصنيف الدولي للأمراض. أيضًا ، سأدرس شخصيًا طلباتك الشخصية وأسئلتك واقتراحاتك وتوصياتك
شخصيًا وسأجيب على الجميع .
يتم توفير جميع المعلومات للأغراض التعليمية فقط. لا يتحمل مؤلف هذا المستند أية مسؤولية عن أي ضرر يلحق بشخص ما نتيجة استخدام المعرفة والأساليب التي تم الحصول عليها نتيجة لدراسة هذا المستند.
تغليف الملفات القابلة للتنفيذ
الملفات المعبأة هي ملفات تخفي شفرة المصدر الخاصة بهم باستخدام الضغط أو التشفير. أثناء تقدمه ، يقوم مثل هذا الملف بفك تشفير الكود المصدر ونسخه إلى قسم آخر. تقوم الحزم عادةً بتعديل جدول استيراد العناوين (IAT) أو استيراد جدول البحث (ILUT) ، وكذلك الرأس.
يتم استخدام التغليف للأسباب التالية:
- ملف معبأة يستغرق مساحة أقل ؛
- لمنع الهندسة العكسية للبرنامج ؛
- يمكن استخدام العبوة المشفرة أيضًا بشكل ضار عند إنشاء فيروسات لتشفير رمز الفيروس وتعديله ليصبح من الصعب اكتشافه باستخدام أنظمة تستند إلى التوقيع.
لتحليل ما إذا كان البرنامج قد تم حزمه أم لا ، يمكنك
استخدام PEid أو
DetectItEasy . بالنسبة لتفريغ الحزم ، يتم استخدام البرامج المناسبة أو الحزم الشاملة ، على سبيل المثال ،
Quick Unpack .
رازم الشهيرة:
حل مهمة العلم
نضغط على الأيقونة التي تحمل علامة التوقيع ، وقيل لنا إنه يمكننا تنزيل الملف القابل للتنفيذ.
لم نمنح الخطوة الأولية.
سأستخدم Cutter لتحليل البرنامج. افتح Cutter ، حدد المسار إلى الملف القابل للتنفيذ.
نلاحظ الرسم البياني غريب جدا من البرنامج وغياب الوظيفة الرئيسية.
دعنا نتحقق من البرنامج في DetectItEasy ، والذي يقول أن ملفنا معبأ بـ UPX.
فك البرنامج باستخدام الأمر التالي.
upx -d flag
الآن ، إذا قمت برمي البرنامج في Cutter ، يمكنك مراقبة الوظيفة الرئيسية والخطوط المفككة.
نرى خط مع UPX. تجدها في قائمة الخطوط.
هذا هو الجواب. نتيجة لذلك ، نحصل على نقاطنا.
نراكم في المقالات التالية !!!
نحن في قناة برقية:
قناة في برقية .