Hallo, Chabrawitschi.
Für diejenigen, die es nicht wissen, hat Ricardo zuletzt einen neuen Kurs begonnen, der sich dem Umkehren und Ausnutzen widmet. Dies ist eine Fortsetzung des Kurses des vorherigen ursprünglichen Autors, der in Kapitel
67 endete. Ich habe sofort von dem Kurs erfahren, als Ricardo mich für seinen CrackLatinos-Newsletter anmeldete. Nachdem die Nachricht erschienen war, rannte ich sofort los, um einen Vater mit einer englischen Übersetzung zu suchen, und war sehr glücklich, als ich ihn dort fand. Ein Mann unter dem Spitznamen
Fare9 versuchte es mit der englischen Übersetzung, für die er geehrt und gelobt wurde. Ich möchte auch Hallo sagen und mich bei Ilfak Gilfanov für sein wunderbares Werkzeug bedanken, das in jedem Land verwendet wird. Vor ihm nehme ich meinen Hut ab und verneige mich tief.
Wir werden einen neuen Kurs beginnen, der sich der Nutzung und Umkehrung von WINDOWS mit kostenlosen Tools widmet und kostenlos im Internet erhältlich ist. (IDA FREE, RADARE, WINDBG, X64DBG, GHIDRA usw.)
Wir werden keine kostenpflichtigen Tools verwenden. Die Idee des Kurses ist nicht, Wettbewerb zwischen verschiedenen Werkzeugen zu schaffen, sondern zu lernen, wie man sie benutzt. In meinem Fall werden wir lernen, wie man RADARE und GHIDRA verwendet, die Werkzeuge sind, die ich nicht täglich benutze, und deshalb werde ich versuchen, sie so gut wie möglich zu verwenden, vorausgesetzt, ich bin überhaupt kein Experte für diese beiden Werkzeuge. Wenn jemand einen Fehler sieht oder den besten Weg findet, ihn zu verwenden, wäre es schön, wenn Sie mich darüber informieren, damit ich meine Fehler korrigiere und etwas Neues lerne.
Dieser Kurs beginnt mit der Installation von Tools, einer kleinen Theorie der Schwachstellen und sehr einfachen Beispielen für die Ausnutzung, deren Komplexität mit dem Lernen zunimmt. In diesem Kurs gibt es keine Einführung in die Montageanleitung. All dies ist im vorherigen Kurs REVERSING CON IDA PRO sowie in anderen vorherigen Kursen und auf vielen Internetseiten enthalten. Hier gehen wir direkt zur Operation und zum Rückwärtsfahren. Alle, die an der Montageanleitung zweifeln, können sich auf die vorherigen Kurse beziehen, um diese Zweifel zu klären.
Um meine Arbeitsumgebung zu erstellen, müssen Sie zunächst die Tools installieren.
IDA KOSTENLOS INSTALLIEREN
Um IDA FREE herunterzuladen, folgen Sie diesem Link:
https://www.hex-rays.com/products/ida/support/download_freeware.shtml
Von hier aus müssen Sie die Datei IDAFREE70_WINDOWS herunterladen, und die Installation selbst ist sehr einfach. Befolgen Sie einfach die Anweisungen des Installationsprogramms, und das IDA FREE-Symbol wird schnell auf Ihrem Computer angezeigt.
RADARE-INSTALLATION
Der nächste Schritt ist die Installation von RADARE2.
Sie müssen nur zur Projektseite gehen:
https://github.com/radareorg/radare2/releasesHier müssen wir die neueste Version finden.
Dies ist derzeit Version 3.9.0. In Zukunft wird hier eine neue Version verfügbar sein. Unabhängig davon, welche Version sich derzeit auf der Website befindet, müssen wir das Installationsprogramm für die neueste Version für WINDOWS herunterladen.
Die Installation ist auch sehr einfach. Fügen Sie einfach den Pfad zu den Umgebungsvariablen hinzu, für die er festgelegt wurde.
Fügen Sie hier der Umgebungsvariablen PATH die folgenden Zeilen hinzu:
C:\Users\<nombre_de_usuario>\AppData\Local\Programs\radare2
C:\Users\<nombre_de_usuario>\AppData\Local\Programs\radare2\bin
Die Idee ist, dass wir über die Befehlszeile (CMD) RADARE2 eingeben und ausführen können.
GHIDRA INSTALLIEREN
Die Installation von GHIDRA ist ebenfalls sehr einfach. Sie müssen nur zur Projektseite gehen.
https://ghidra-sre.org/
Hier müssen Sie das ZIP-Archiv herunterladen. In meinem Fall hieß es GHIDRA_9.1-BETA_DEV_20190923.ZIP und ich entpacke es beispielsweise auf dem Desktop. Ich erstelle eine virtuelle VMWARE-Maschine ohne Internetverbindung, die ich nur für GHIDRA verwenden werde. Ich vertraue der NSA nicht (was für eine paranoide Sache, ca. Yashi), also ist es besser, so zu arbeiten.
Nach dem Auspacken sollten Sie JAVA installieren. Sie können es über die ORACLE-Seite oder von anderen Websites herunterladen. In meinem Fall muss ich dieses Installationsprogramm herunterladen und nach Abschluss der Installation den Pfad zum Speicherort JAVA BIN zu den Umgebungsvariablen hinzufügen.
Version 11 auf der GHIDRA-Seite sagt, dass es am besten geeignet ist.
Diejenigen, die bereits mit GHIDRA herumgespielt haben, sagen auch, dass die Version OPENJDK 11 am besten dafür geeignet ist.
https://adoptopenjdk.net/releases.html?variant=openjdk11&jvmVariant=hotspot
Nach dem Laden des Installationsprogramms haben Sie die Möglichkeit, den Pfad zur Binärdatei JAVA.EXE über die Umgebungsvariable PATH hinzuzufügen.
Nach Abschluss der JAVA-Installation können Sie GHIDRA starten.
Führen Sie einfach diesen BAT-Spitznamen aus und GHIDRA wird geladen.
Gut Fast alles ist bereit für uns.
X64DBG INSTALLIEREN
Fast täglich werden neue Schnappschüsse für diesen Debugger veröffentlicht.
https://sourceforge.net/projects/x64dbg/files/snapshots/Natürlich müssen wir im Moment den neuesten Build herunterladen.
In meinem Fall ist dies ein Schnappschuss mit dem Namen SNAPSHOT_2019-10-14_00-57.ZIP
Sobald wir das Archiv entpackt haben, müssen Sie in den Ordner RELEASE gehen.
Beim Start als Administrator wird uns ein Launcher angezeigt, damit wir je nach Bedarf die 32-Bit- oder 64-Bit-Version des Debuggers auswählen können.
Wir können das SNOWMAN-Plugin zur Dekompilierung herunterladen, da IDA FREE nicht mit dem Dekompilierungs-Plugin geliefert wird und es dem Plugin-Ordner hinzufügt.
https://github.com/x64dbg/snowman/releases/tag/plugin-v1Die 32-Bit-Version des Plug-Ins muss in den Plug-In-Ordner für die 32-Bit-Version des Debuggers und für die 64-Bit-Version des Plug-Ins kopiert werden.
INSTALLIEREN SIE WINDBG
Wenn Sie WINDOWS 10 verwenden, installieren Sie den WINDBG-Debugger über den MICROSOFT-Store. Suchen Sie einfach nach dem Schlüsselwort WINDBG und installieren Sie es von dort aus.
WINDBG PREVIEW, die neueste Version, wird automatisch aus dem Store installiert. Wenn Sie WINDOWS 7 verwenden, müssen Sie eine frühere Version von WINDBG installieren.
https://drive.google.com/open?id=1UEPBecOoir-nhyRK-RHOAhRq05ZtlW1yEs gibt verschiedene Versionen, sehr alt und nicht sehr.
Dies sind die neuesten Versionen von Debuggern für WINDOWS 7, die ich habe. Wenn sie nicht zu Ihnen passen, befinden sich einige frühere Versionen im Ordner OLD VERSIONS.
Der nächste Schritt besteht darin, die Zeichen für WINDBG zu konfigurieren, einen Ordner mit dem Namen SYMBOLS auf dem Laufwerk C: \ zu erstellen, dann zu den Umgebungsvariablen zu wechseln und die Variable _NT_SYMBOL_PATH hinzuzufügen.
Dieser Variablen muss folgender Wert zugewiesen werden:
SRV*c:\symbols*http://msdl.microsoft.com/download/symbolsDanach installieren wir WINDBG PREVIEW.
Sie können dann eine Art Hex-Editor wie HxD installieren, der kostenlos ist.
https://mh-nexus.de/de/hxd/
PYTHON INSTALLIEREN
Wir werden das neueste PYTHON 3 installieren, um Exploits für jede Übung erstellen zu können.
https://www.python.org/downloads/
Dies ist die neueste Version, die derzeit existiert, wenn ich diese Zeile schreibe. Ich werde es hochladen.
PYTHON-3.8.0-AMD64.EXE
Um den Pfad zur ausführbaren Datei PYTHON.EXE zur Umgebungsvariablen PATH im Installationsprogramm hinzuzufügen, müssen Sie ein Kontrollkästchen aktivieren, das automatisch für Sie ausgeführt wird.
Normalerweise sieht der Pfad folgendermaßen aus:
C:\Users\XXXXX\AppData\Local\Programs\Python\Python38Der Ordner PYTHON38 wird je nach Version unterschiedlich benannt.
Wir brauchen dies, um PYTHON über die Kommandozeile auszuführen.
PYCHARM-GEMEINSCHAFT INSTALLIEREN
https://www.jetbrains.com/pycharm/download/
In meinem Fall ist PYCHARM-COMMUNITY-2019.2.3.EXE die neueste Version. Für Sie kann es anders sein.
Nach der Installation müssen wir ein Projekt erstellen.
Im Menü RUN → DEBUG sehen Sie den Interpreter, der unsere Befehle verarbeitet.
Suchen Sie auch in EINSTELLUNGEN nach PROJECT INTERPRETER und stellen Sie sicher, dass PYTHON 3.8 oder das in Ihrem Fall verwendete erkannt wird.
Dann erstelle ich die PEPE.TXT-Datei, benenne sie in PEPE.PY um und ziehe sie in den Editor:
Ich schreibe ein kleines Stück Code und starte es mit der RUN-Taste. Der Interpreter sollte mir den folgenden Wert drucken - 2248.
PYCHARM sollte den Text automatisch vervollständigen. Wenn wir beispielsweise mit der Maus das Wort OS auswählen, sollte die entsprechende Betriebssystembibliothek geöffnet werden, wenn wir die STRG-Taste drücken.
Damit ist der erste Teil abgeschlossen. Es ist der Installation der Tools gewidmet, die wir verwenden werden. Der zweite Teil wird dem Pufferüberlauf gewidmet sein, eine kleine Theorie, und wir werden die ersten einfachen Übungen machen, die wir zusammen machen werden, die anderen werde ich für Sie verlassen. Vergessen Sie auch nicht die Hausaufgaben, die ich für Sie hinterlassen werde. Praxis ist viel wichtiger als Theorie, ohne sie nirgendwo.
Wir sehen uns im zweiten Teil.
RICARDO NARVAH (WWW.RICARDONARVAJA.INFO)
18.10.2019
Sie können ein schönes PDF hier abholen yasha.su/IDAFREE1.PDF