Dans cet article, nous analyserons comment et pourquoi le conditionnement des fichiers exécutables est utilisé, comment les trouver et les décompresser, et résoudre la 4ème tâche à partir du site
pwnable.kr .
Information organisationnelleSurtout pour ceux qui veulent apprendre quelque chose de nouveau et se développer dans l'un des domaines de l'information et de la sécurité informatique, j'écrirai et parlerai des catégories suivantes:
- PWN;
- cryptographie (Crypto);
- technologies de réseau (réseau);
- reverse (Reverse Engineering);
- stéganographie (Stegano);
- recherche et exploitation des vulnérabilités WEB.
En plus de cela, je partagerai mon expérience en criminalistique informatique, analyse de logiciels malveillants et micrologiciels, attaques sur les réseaux sans fil et réseaux locaux, réalisation de pentests et écriture d'exploits.
Afin que vous puissiez vous renseigner sur les nouveaux articles, logiciels et autres informations, j'ai créé une
chaîne dans Telegram et un
groupe pour discuter de tout problème dans le domaine de l'ICD. Aussi, je considérerai personnellement vos demandes, questions, suggestions et recommandations
personnelles et répondrai à tout le monde .
Toutes les informations sont fournies à des fins éducatives uniquement. L'auteur de ce document n'assume aucune responsabilité pour tout dommage causé à quelqu'un du fait de l'utilisation des connaissances et des méthodes obtenues à la suite de l'étude de ce document.
Empaqueter des fichiers exécutables
Les fichiers compressés sont des fichiers qui masquent leur code source à l'aide de la compression ou du chiffrement. Au fur et à mesure de sa progression, un tel fichier déchiffre son code source et le copie dans une autre section. Les emballeurs modifient généralement la table d'adresses d'importation (IAT) ou la table de recherche d'importation (ILUT), ainsi que l'en-tête.
L'emballage est utilisé pour les raisons suivantes:
- un fichier compressé prend moins de place;
- pour empêcher l'ingénierie inverse du programme;
- Le conditionnement crypté peut également être utilisé de manière malveillante lors de la création de virus pour crypter et modifier le code du virus pour le rendre difficile à détecter avec les systèmes basés sur les signatures.
Pour analyser si un programme est empaqueté ou non, vous pouvez
utiliser PEid ou
DetectItEasy . Pour le déballage, des programmes appropriés ou des déballeurs universels, par exemple
Quick Unpack, sont utilisés .
Emballeurs célèbres:
Solution de la tâche de drapeau
Nous cliquons sur l'icône avec le drapeau de signature, et on nous dit que nous pouvons télécharger le fichier exécutable.
On ne nous donne pas le coup initial. J'utiliserai
Cutter pour analyser le programme. Ouvrez Cutter, spécifiez le chemin d'accès au fichier exécutable.
On observe un graphique très étrange du programme et l'absence de la fonction principale.
Vérifions le programme dans DetectItEasy, qui dit que notre fichier est compressé UPX.
Décompressez le programme avec la commande suivante.
upx -d flag
Maintenant, si vous lancez le programme dans Cutter, vous pouvez observer la fonction principale et les lignes décompressées.
Nous voyons une ligne avec UPX. Trouvez-le dans la liste des lignes.
Telle est la réponse. En conséquence, nous obtenons nos points.
A bientôt dans les articles suivants !!!
Nous sommes dans un canal de télégramme: un
canal dans Telegram .