8 KiB
{% hint style="success" %}
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Mwongozo wa Decompilation ya Wasm na Uundaji wa Wat
Katika ulimwengu wa WebAssembly, zana za decompiling na compiling ni muhimu kwa waendelezaji. Mwongo huu unawasilisha baadhi ya rasilimali za mtandaoni na programu za kushughulikia Wasm (WebAssembly binary) na Wat (WebAssembly text).
Zana za Mtandaoni
- Ili decompile Wasm hadi Wat, zana inayopatikana kwenye Wabt's wasm2wat demo inasaidia.
- Kwa compiling Wat kurudi kwa Wasm, Wabt's wat2wasm demo inatumika.
- Chaguo lingine la decompilation linaweza kupatikana kwenye web-wasmdec.
Suluhisho za Programu
- Kwa suluhisho thabiti zaidi, JEB by PNF Software inatoa vipengele vya kina.
- Mradi wa chanzo wazi wasmdec pia unapatikana kwa kazi za decompilation.
Rasilimali za Decompilation ya .Net
Kufanya decompilation ya makusanyo ya .Net kunaweza kufanywa kwa zana kama:
- ILSpy, ambayo pia inatoa plugin kwa Visual Studio Code, ikiruhusu matumizi ya majukwaa tofauti.
- Kwa kazi zinazohusisha decompilation, modification, na recompilation, dnSpy inapendekezwa sana. Kubonyeza-kulia kwenye njia na kuchagua Modify Method kunaruhusu mabadiliko ya msimbo.
- JetBrains' dotPeek ni chaguo jingine kwa decompiling makusanyo ya .Net.
Kuimarisha Ufuatiliaji na Kurekodi kwa DNSpy
Kurekodi kwa DNSpy
Ili kurekodi taarifa kwenye faili kwa kutumia DNSpy, jumuisha kipande hiki cha msimbo wa .Net:
%%%cpp using System.IO; path = "C:\inetpub\temp\MyTest2.txt"; File.AppendAllText(path, "Password: " + password + "\n"); %%%
Ufuatiliaji wa DNSpy
Kwa ufuatiliaji mzuri na DNSpy, mfululizo wa hatua unashauriwa kubadilisha sifa za Assembly kwa ajili ya ufuatiliaji, kuhakikisha kuwa uboreshaji ambao unaweza kuzuia ufuatiliaji umezimwa. Mchakato huu unajumuisha kubadilisha mipangilio ya DebuggableAttribute
, kurekebisha makusanyo, na kuhifadhi mabadiliko.
Zaidi ya hayo, ili kufuatilia programu ya .Net inayotumiwa na IIS, kutekeleza iisreset /noforce
kunaanzisha upya IIS. Ili kuunganisha DNSpy kwenye mchakato wa IIS kwa ajili ya ufuatiliaji, mwongozo unashauri kuchagua mchakato wa w3wp.exe ndani ya DNSpy na kuanzisha kikao cha ufuatiliaji.
Kwa mtazamo wa kina wa moduli zilizopakiwa wakati wa ufuatiliaji, kufikia dirisha la Modules ndani ya DNSpy kunashauriwa, kisha kufungua moduli zote na kupanga makusanyo kwa urahisi wa urambazaji na ufuatiliaji.
Mwongo huu unajumuisha kiini cha WebAssembly na decompilation ya .Net, ukitoa njia kwa waendelezaji kuhamasika katika kazi hizi kwa urahisi.
Java Decompiler
Ili decompile bytecode ya Java, zana hizi zinaweza kuwa na msaada mkubwa:
Ufuatiliaji wa DLLs
Kutumia IDA
- Rundll32 inaload kutoka njia maalum kwa toleo la 64-bit na 32-bit.
- Windbg inachaguliwa kama debuggger na chaguo la kusimamisha wakati wa kupakia/kutoa maktaba limewezeshwa.
- Vigezo vya utekelezaji vinajumuisha njia ya DLL na jina la kazi. Mpangilio huu unasimamisha utekelezaji wakati wa kupakia kila DLL.
Kutumia x64dbg/x32dbg
- Kama IDA, rundll32 inaload na marekebisho ya mistari ya amri ili kubainisha DLL na kazi.
- Mipangilio inarekebishwa ili kuvunja kwenye kuingia kwa DLL, ikiruhusu kuweka alama ya kuvunja kwenye kiingilio kinachotakiwa cha DLL.
Picha
- Mipangilio ya kusimamisha utekelezaji na mipangilio inaonyeshwa kupitia picha za skrini.
ARM & MIPS
- Kwa emulation, arm_now ni rasilimali muhimu.
Shellcodes
Mbinu za Ufuatiliaji
- Blobrunner na jmp2it ni zana za kugawa shellcodes kwenye kumbukumbu na kuziangalia kwa Ida au x64dbg.
- Blobrunner toleo
- jmp2it toleo lililotengenezwa
- Cutter inatoa emulation na ukaguzi wa shellcode kwa kutumia GUI, ikionyesha tofauti katika usimamizi wa shellcode kama faili dhidi ya shellcode moja kwa moja.
Deobfuscation na Uchambuzi
-
scdbg inatoa maarifa kuhusu kazi za shellcode na uwezo wa deobfuscation. %%%bash scdbg.exe -f shellcode # Taarifa za msingi scdbg.exe -f shellcode -r # Ripoti ya uchambuzi scdbg.exe -f shellcode -i -r # Vidokezo vya mwingiliano scdbg.exe -f shellcode -d # Dump shellcode iliyotafsiriwa scdbg.exe -f shellcode /findsc # Pata ofset ya kuanzia scdbg.exe -f shellcode /foff 0x0000004D # Tekeleza kutoka ofset %%%
-
CyberChef kwa ajili ya kuondoa shellcode: CyberChef recipe
Movfuscator
- Obfuscator inayobadilisha maagizo yote kuwa
mov
. - Rasilimali muhimu ni pamoja na ufafanuzi wa YouTube na slides za PDF.
- demovfuscator inaweza kubadilisha obfuscation ya movfuscator, ikihitaji utegemezi kama
libcapstone-dev
nalibz3-dev
, na kufunga keystone.
Delphi
- Kwa binaries za Delphi, IDR inapendekezwa.
Kozi
- https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
- https://github.com/malrev/ABD
Uondoaji wa binary
{% hint style="success" %}
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.