Neste artigo, analisaremos como e por que o empacotamento de arquivos executáveis é usado, como localizá-los e descompactá-los e resolver a 4ª tarefa no site
pwnable.kr .
Informações OrganizacionaisEspecialmente para aqueles que desejam aprender algo novo e se desenvolver em qualquer uma das áreas de segurança da informação e da informática, escreverei e falarei sobre as seguintes categorias:
- PWN;
- criptografia (criptografia);
- tecnologias de rede (rede);
- reverso (engenharia reversa);
- esteganografia (estegano);
- pesquisa e exploração de vulnerabilidades na WEB.
Além disso, compartilharei minha experiência em análise forense de computadores, análise de malware e firmware, ataques a redes sem fio e redes locais, realização de protestos e explorações por escrito.
Para que você possa descobrir sobre novos artigos, software e outras informações, criei um
canal no Telegram e um
grupo para discutir quaisquer questões no campo da CID. Além disso, considerarei pessoalmente seus pedidos, perguntas, sugestões e recomendações
pessoais e responderei a todos .
Todas as informações são fornecidas apenas para fins educacionais. O autor deste documento não se responsabiliza por nenhum dano causado a alguém como resultado do uso dos conhecimentos e métodos obtidos como resultado do estudo deste documento.
Empacotando arquivos executáveis
Arquivos compactados são arquivos que ocultam seu código-fonte usando compactação ou criptografia. À medida que avança, esse arquivo descriptografa seu código-fonte e o copia para outra seção. Os empacotadores geralmente modificam a Tabela de endereços de importação (IAT) ou a Tabela de pesquisa de importação (ILUT), bem como o cabeçalho.
A embalagem é usada pelos seguintes motivos:
- um arquivo compactado ocupa menos espaço;
- impedir engenharia reversa do programa;
- o pacote criptografado também pode ser usado com intuito malicioso ao criar vírus para criptografar e modificar o código do vírus, dificultando a detecção com sistemas baseados em assinaturas.
Para analisar se um programa está empacotado ou não, você pode
usar PEid ou
DetectItEasy . Para descompactar
, são utilizados programas apropriados ou descompactadores universais, por exemplo,
Quick Unpack .
Empacotadores famosos:
Solução da tarefa de sinalização
Clicamos no ícone com o sinalizador de assinatura e somos informados de que podemos baixar o arquivo executável.
Não nos é dado o movimento inicial. Vou usar o
Cutter para analisar o programa. Abra o Cortador, especifique o caminho para o arquivo executável.
Observamos um gráfico muito estranho do programa e a ausência da função principal.
Vamos verificar o programa em DetectItEasy, que diz que nosso arquivo está compactado com UPX.
Descompacte o programa com o seguinte comando.
upx -d flag
Agora, se você lançar o programa no Cutter, poderá observar a função principal e as linhas descompactadas.
Vemos uma linha com o UPX. Encontre-o na lista de linhas.
Essa é a resposta. Como resultado, obtemos nossos pontos.
Vejo você nos seguintes artigos !!!
Estamos em um canal de telegrama: um
canal no telegrama .