mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00

History

Translator 0e44e2a098 Translated ['generic-methodologies-and-resources/basic-forensic-methodol		2024-07-19 10:17:18 +00:00
..
blobrunner.md	Translated ['generic-methodologies-and-resources/basic-forensic-methodol	2024-07-19 10:17:18 +00:00
README.md	Translated ['generic-methodologies-and-resources/basic-forensic-methodol	2024-07-19 10:17:18 +00:00

README.md

{% hint style="success" %} Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

{% endhint %}

Mwongozo wa Decompilation ya Wasm na Uundaji wa Wat

Katika ulimwengu wa WebAssembly, zana za decompiling na compiling ni muhimu kwa waendelezaji. Mwongo huu unawasilisha baadhi ya rasilimali za mtandaoni na programu za kushughulikia Wasm (WebAssembly binary) na Wat (WebAssembly text).

Zana za Mtandaoni

Ili decompile Wasm hadi Wat, zana inayopatikana kwenye Wabt's wasm2wat demo inasaidia.
Kwa compiling Wat kurudi kwa Wasm, Wabt's wat2wasm demo inatumika.
Chaguo lingine la decompilation linaweza kupatikana kwenye web-wasmdec.

Suluhisho za Programu

Kwa suluhisho thabiti zaidi, JEB by PNF Software inatoa vipengele vya kina.
Mradi wa chanzo wazi wasmdec pia unapatikana kwa kazi za decompilation.

Rasilimali za Decompilation ya .Net

Kufanya decompilation ya makusanyo ya .Net kunaweza kufanywa kwa zana kama:

ILSpy, ambayo pia inatoa plugin kwa Visual Studio Code, ikiruhusu matumizi ya majukwaa tofauti.
Kwa kazi zinazohusisha decompilation, modification, na recompilation, dnSpy inapendekezwa sana. Kubonyeza-kulia kwenye njia na kuchagua Modify Method kunaruhusu mabadiliko ya msimbo.
JetBrains' dotPeek ni chaguo jingine kwa decompiling makusanyo ya .Net.

Kuimarisha Ufuatiliaji na Kurekodi kwa DNSpy

Kurekodi kwa DNSpy

Ili kurekodi taarifa kwenye faili kwa kutumia DNSpy, jumuisha kipande hiki cha msimbo wa .Net:

%%%cpp using System.IO; path = "C:\inetpub\temp\MyTest2.txt"; File.AppendAllText(path, "Password: " + password + "\n"); %%%

Ufuatiliaji wa DNSpy

Kwa ufuatiliaji mzuri na DNSpy, mfululizo wa hatua unashauriwa kubadilisha sifa za Assembly kwa ajili ya ufuatiliaji, kuhakikisha kuwa uboreshaji ambao unaweza kuzuia ufuatiliaji umezimwa. Mchakato huu unajumuisha kubadilisha mipangilio ya DebuggableAttribute, kurekebisha makusanyo, na kuhifadhi mabadiliko.

Zaidi ya hayo, ili kufuatilia programu ya .Net inayotumiwa na IIS, kutekeleza iisreset /noforce kunaanzisha upya IIS. Ili kuunganisha DNSpy kwenye mchakato wa IIS kwa ajili ya ufuatiliaji, mwongozo unashauri kuchagua mchakato wa w3wp.exe ndani ya DNSpy na kuanzisha kikao cha ufuatiliaji.

Kwa mtazamo wa kina wa moduli zilizopakiwa wakati wa ufuatiliaji, kufikia dirisha la Modules ndani ya DNSpy kunashauriwa, kisha kufungua moduli zote na kupanga makusanyo kwa urahisi wa urambazaji na ufuatiliaji.

Mwongo huu unajumuisha kiini cha WebAssembly na decompilation ya .Net, ukitoa njia kwa waendelezaji kuhamasika katika kazi hizi kwa urahisi.

Java Decompiler

Ili decompile bytecode ya Java, zana hizi zinaweza kuwa na msaada mkubwa:

jadx
JD-GUI

Ufuatiliaji wa DLLs

Kutumia IDA

Rundll32 inaload kutoka njia maalum kwa toleo la 64-bit na 32-bit.
Windbg inachaguliwa kama debuggger na chaguo la kusimamisha wakati wa kupakia/kutoa maktaba limewezeshwa.
Vigezo vya utekelezaji vinajumuisha njia ya DLL na jina la kazi. Mpangilio huu unasimamisha utekelezaji wakati wa kupakia kila DLL.

Kutumia x64dbg/x32dbg

Kama IDA, rundll32 inaload na marekebisho ya mistari ya amri ili kubainisha DLL na kazi.
Mipangilio inarekebishwa ili kuvunja kwenye kuingia kwa DLL, ikiruhusu kuweka alama ya kuvunja kwenye kiingilio kinachotakiwa cha DLL.

Picha

Mipangilio ya kusimamisha utekelezaji na mipangilio inaonyeshwa kupitia picha za skrini.

ARM & MIPS

Kwa emulation, arm_now ni rasilimali muhimu.

Shellcodes

Mbinu za Ufuatiliaji

Blobrunner na jmp2it ni zana za kugawa shellcodes kwenye kumbukumbu na kuziangalia kwa Ida au x64dbg.
Blobrunner toleo
jmp2it toleo lililotengenezwa
Cutter inatoa emulation na ukaguzi wa shellcode kwa kutumia GUI, ikionyesha tofauti katika usimamizi wa shellcode kama faili dhidi ya shellcode moja kwa moja.

Deobfuscation na Uchambuzi

scdbg inatoa maarifa kuhusu kazi za shellcode na uwezo wa deobfuscation. %%%bash scdbg.exe -f shellcode # Taarifa za msingi scdbg.exe -f shellcode -r # Ripoti ya uchambuzi scdbg.exe -f shellcode -i -r # Vidokezo vya mwingiliano scdbg.exe -f shellcode -d # Dump shellcode iliyotafsiriwa scdbg.exe -f shellcode /findsc # Pata ofset ya kuanzia scdbg.exe -f shellcode /foff 0x0000004D # Tekeleza kutoka ofset %%%
CyberChef kwa ajili ya kuondoa shellcode: CyberChef recipe

Movfuscator

Obfuscator inayobadilisha maagizo yote kuwa mov.
Rasilimali muhimu ni pamoja na ufafanuzi wa YouTube na slides za PDF.
demovfuscator inaweza kubadilisha obfuscation ya movfuscator, ikihitaji utegemezi kama libcapstone-dev na libz3-dev, na kufunga keystone.

Delphi

Kwa binaries za Delphi, IDR inapendekezwa.

Kozi

https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
https://github.com/malrev/ABD Uondoaji wa binary

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

{% endhint %}