इस आलेख में, हम विश्लेषण करेंगे कि निष्पादन योग्य फ़ाइलों की पैकेजिंग का उपयोग कैसे और क्यों किया जाता है, उन्हें कैसे खोजना और अनपैक करना है, और साइट
pwnable.kr से 4 वें कार्य को हल करना है।
संगठनात्मक जानकारीविशेष रूप से उन लोगों के लिए जो सूचना और कंप्यूटर सुरक्षा के किसी भी क्षेत्र में कुछ नया सीखना और विकसित करना चाहते हैं, मैं निम्नलिखित श्रेणियों के बारे में लिखूंगा और बात करूंगा:
- PWN;
- क्रिप्टोग्राफी (क्रिप्टो);
- नेटवर्क टेक्नोलॉजीज (नेटवर्क);
- रिवर्स (रिवर्स इंजीनियरिंग);
- स्टेग्नोग्राफ़ी (स्टेग्नो);
- WEB कमजोरियों की खोज और उनका दोहन।
इसके अलावा, मैं अपने अनुभव को कंप्यूटर फोरेंसिक, मैलवेयर और फर्मवेयर के विश्लेषण, वायरलेस नेटवर्क और स्थानीय क्षेत्र नेटवर्क पर हमले, पेंटेस्ट का संचालन करने और कारनामे लिखने में साझा करूंगा।
ताकि आप नए लेख, सॉफ्टवेयर और अन्य जानकारी के बारे
में जान सकें, मैंने
टेलीग्राम में एक
चैनल बनाया और आईसीडी के क्षेत्र में
किसी भी मुद्दे पर चर्चा करने के लिए एक
समूह बनाया। साथ ही, मैं व्यक्तिगत रूप से आपके व्यक्तिगत अनुरोधों, प्रश्नों, सुझावों और सिफारिशों पर
व्यक्तिगत रूप से विचार
करूंगा और सभी का जवाब दूंगा ।
सभी जानकारी केवल शैक्षिक उद्देश्यों के लिए प्रदान की जाती है। इस दस्तावेज़ का लेखक इस दस्तावेज़ का अध्ययन करने के परिणामस्वरूप प्राप्त ज्ञान और विधियों का उपयोग करने के परिणामस्वरूप किसी को हुए नुकसान के लिए कोई ज़िम्मेदारी नहीं उठाता है।
पैकेजिंग निष्पादन योग्य फ़ाइलें
पैक्ड फाइलें ऐसी फाइलें हैं जो संपीड़न या एन्क्रिप्शन का उपयोग करके अपने स्रोत कोड को छिपाती हैं। जैसे-जैसे यह आगे बढ़ता है, ऐसी फाइल अपने स्रोत कोड को डिक्रिप्ट करती है और इसे दूसरे सेक्शन में कॉपी करती है। पैकर्स आमतौर पर आयात पता तालिका (IAT) या आयात लुकअप तालिका (ILUT), साथ ही शीर्ष लेख को संशोधित करते हैं।
पैकेजिंग का उपयोग निम्नलिखित कारणों से किया जाता है:
- एक पैक फ़ाइल कम जगह लेती है;
- कार्यक्रम के रिवर्स इंजीनियरिंग को रोकने के लिए;
- एन्क्रिप्टेड पैकेजिंग का उपयोग दुर्भावनापूर्ण रूप से भी किया जा सकता है जब वायरस को एन्क्रिप्ट करने और वायरस कोड को संशोधित करने के लिए हस्ताक्षर-आधारित सिस्टम के साथ पता लगाना मुश्किल हो जाता है।
विश्लेषण करने के लिए कि क्या कोई प्रोग्राम पैक किया गया है या नहीं, आप
PEID या
DetectItEasy का उपयोग कर सकते
हैं । अनपैकिंग के लिए, उपयुक्त प्रोग्राम या यूनिवर्सल अनपैकर, उदाहरण के लिए,
क्विक अनपैक, का उपयोग किया जाता है ।
प्रसिद्ध पैकर्स:
ध्वज कार्य का समाधान
हम हस्ताक्षर ध्वज के साथ आइकन पर क्लिक करते हैं, और हमें बताया जाता है कि हम निष्पादन योग्य फ़ाइल डाउनलोड कर सकते हैं।
हमें शुरुआती कदम नहीं दिए गए हैं। मैं प्रोग्राम का विश्लेषण करने के लिए
कटर का उपयोग करूंगा। कटर खोलें, निष्पादन योग्य फ़ाइल के लिए पथ निर्दिष्ट करें।
हम कार्यक्रम और मुख्य समारोह की अनुपस्थिति के एक बहुत ही अजीब ग्राफ का निरीक्षण करते हैं।
आइए DetectItEasy में प्रोग्राम की जांच करें, जो कहता है कि हमारी फ़ाइल UPX पैक है।
निम्नलिखित कमांड के साथ कार्यक्रम को अनपैक करें।
upx -d flag
अब, यदि आप प्रोग्राम को कटर में फेंकते हैं, तो आप मुख्य फ़ंक्शन और अनपैक्ड लाइनों का निरीक्षण कर सकते हैं।
हम UPX के साथ एक रेखा देखते हैं। इसे लाइनों की सूची में खोजें।
यह उत्तर है। परिणामस्वरूप, हमें अपने अंक मिलते हैं।
आपको निम्नलिखित लेखों में मिलते हैं !!!
हम एक टेलीग्राम चैनल में हैं:
टेलीग्राम में एक
चैनल ।