Pada artikel ini, kita akan menganalisis bagaimana dan mengapa kemasan file yang dapat dieksekusi digunakan, bagaimana menemukan dan membongkar mereka, dan menyelesaikan tugas ke-4 dari situs
pwnable.kr .
Informasi OrganisasiTerutama bagi mereka yang ingin mempelajari sesuatu yang baru dan berkembang di bidang informasi dan keamanan komputer, saya akan menulis dan berbicara tentang kategori berikut:
- PWN;
- kriptografi (Crypto);
- teknologi jaringan (Jaringan);
- membalikkan (Reverse Engineering);
- steganografi (Stegano);
- pencarian dan eksploitasi kerentanan WEB.
Selain itu, saya akan membagikan pengalaman saya dalam forensik komputer, analisis malware dan firmware, serangan pada jaringan nirkabel dan jaringan area lokal, melakukan pentest dan menulis eksploitasi.
Agar Anda dapat mengetahui tentang artikel baru, perangkat lunak, dan informasi lainnya, saya membuat
saluran di Telegram dan
grup untuk membahas masalah apa pun di bidang ICD. Juga, saya pribadi akan mempertimbangkan permintaan pribadi Anda, pertanyaan, saran dan rekomendasi
secara pribadi dan akan menjawab semua orang .
Semua informasi disediakan hanya untuk tujuan pendidikan. Penulis dokumen ini tidak bertanggung jawab atas kerusakan yang disebabkan seseorang sebagai akibat dari menggunakan pengetahuan dan metode yang diperoleh sebagai hasil dari mempelajari dokumen ini.
Kemasan file yang dapat dieksekusi
File paket adalah file yang menyembunyikan kode sumbernya menggunakan kompresi atau enkripsi. Ketika proses berlangsung, file seperti itu mendekripsi kode sumbernya dan menyalinnya ke bagian lain. Packer biasanya memodifikasi Import Address Table (IAT) atau Import LookUp Table (ILUT), serta header.
Kemasan digunakan karena alasan berikut:
- file yang dikemas membutuhkan lebih sedikit ruang;
- untuk mencegah rekayasa balik program;
- kemasan terenkripsi juga dapat digunakan jahat dalam membuat virus untuk mengenkripsi dan memodifikasi kode virus untuk membuatnya sulit dideteksi dengan sistem berbasis tanda tangan.
Untuk menganalisis apakah suatu program dikemas atau tidak, Anda dapat
menggunakan PEid atau
DetectItEasy . Untuk membongkar, program yang sesuai atau membongkar universal, misalnya,
Buka Cepat, digunakan .
Pengepakan terkenal:
Solusi dari tugas bendera
Kami mengklik ikon dengan bendera tanda tangan, dan kami diberitahu bahwa kami dapat mengunduh file yang dapat dieksekusi.
Kami tidak diberi langkah awal. Saya akan menggunakan
Cutter untuk menganalisis program. Buka Cutter, tentukan path ke file yang dapat dieksekusi.
Kami mengamati grafik program yang sangat aneh dan tidak adanya fungsi utama.
Mari kita periksa program di DetectItEasy, yang mengatakan bahwa file kita dikemas oleh UPX.
Buka paket program dengan perintah berikut.
upx -d flag
Sekarang, jika Anda melempar program ke dalam Cutter, Anda dapat mengamati fungsi utama dan garis yang dibongkar.
Kami melihat garis dengan UPX. Temukan di daftar baris.
Ini jawabannya. Sebagai hasilnya, kami mendapatkan poin kami.
Sampai jumpa di artikel berikut !!!
Kami berada di saluran telegram:
saluran di Telegram .