| .. | ||
| blobrunner.md | ||
| README.md | ||
Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!
Інші способи підтримки HackTricks:
- Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
- Отримайте офіційний PEASS & HackTricks мерч
- Дізнайтеся про Сім'ю PEASS, нашу колекцію ексклюзивних NFT
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
- Поділіться своїми хакінговими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.
Посібник з декомпіляції Wasm та компіляції Wat
У світі WebAssembly інструменти для декомпіляції та компіляції є важливими для розробників. Цей посібник представляє деякі онлайн-ресурси та програмне забезпечення для роботи з файлами Wasm (бінарний WebAssembly) та Wat (текстовий WebAssembly).
Онлайн-інструменти
- Для декомпіляції Wasm у Wat, корисний інструмент доступний на демонстрації wasm2wat від Wabt.
- Для компіляції Wat назад у Wasm, служить демонстрація wat2wasm від Wabt.
- Інша опція декомпіляції може бути знайдена на web-wasmdec.
Програмні рішення
- Для більш надійного рішення, JEB від PNF Software пропонує широкі можливості.
- Проект з відкритим кодом wasmdec також доступний для завдань декомпіляції.
Ресурси для декомпіляції .Net
Декомпіляцію .Net збірок можна виконати за допомогою таких інструментів, як:
- ILSpy, який також пропонує плагін для Visual Studio Code, що дозволяє використання на різних платформах.
- Для завдань, пов'язаних з декомпіляцією, зміною та рекомпіляцією, високо рекомендується dnSpy. Вибір методу правою кнопкою миші та вибір Змінити метод дозволяє вносити зміни в код.
- dotPeek від JetBrains є ще однією альтернативою для декомпіляції .Net збірок.
Покращення відладки та журналювання з DNSpy
Журналювання DNSpy
Для журналювання інформації у файл за допомогою DNSpy, включіть наступний фрагмент коду .Net:
%%%cpp using System.IO; path = "C:\inetpub\temp\MyTest2.txt"; File.AppendAllText(path, "Пароль: " + password + "\n"); %%%
Відлагодження DNSpy
Для ефективної відладки з DNSpy рекомендується послідовність кроків для налаштування атрибутів Assembly для відлагодження, забезпечуючи, що оптимізації, які можуть заважати відлагодженню, вимкнені. Цей процес включає зміну налаштувань DebuggableAttribute, рекомпіляцію збірки та збереження змін.
Крім того, для відлагодження додатка .Net, запущеного IIS, виконання iisreset /noforce перезапускає IIS. Для приєднання DNSpy до процесу IIS для відлагодження, посібник інструктує вибрати процес w3wp.exe у DNSpy та розпочати сеанс відлагодження.
Для комплексного перегляду завантажених модулів під час відлагодження рекомендується отримати доступ до вікна Модулів в DNSpy, а потім відкрити всі модулі та відсортувати збірки для зручнішої навігації та відлагодження.
Цей посібник узагальнює суть декомпіляції WebAssembly та .Net, пропонуючи шлях для розробників для легкості виконання цих завдань.
Декомпілятор Java
Для декомпіляції Java байткоду ці інструменти можуть бути дуже корисними:
Відлагодження DLLs
Використання IDA
- Rundll32 завантажується з конкретних шляхів для 64-бітних та 32-бітних версій.
- Windbg вибирається як відлагоджувач з опцією призупинення завантаження/вивантаження бібліотек.
- Параметри виконання включають шлях до DLL та назву функції. Ця настройка призупиняє виконання при завантаженні кожної DLL.
Використання x64dbg/x32dbg
- Подібно до IDA, rundll32 завантажується з модифікаціями командного рядка для вказівки DLL та функції.
- Налаштування змінюються для зупинки на вході в DLL, що дозволяє встановлювати точку зупинки на бажаній точці входу в DLL.
Зображення
- Точки зупинки виконання та конфігурації показані за допомогою знімків екрану.
ARM & MIPS
- Для емуляції, arm_now є корисним ресурсом.
Шеллкоди
Техніки відлагодження
- Blobrunner та jmp2it - це інструменти для виділення шеллкодів у пам'яті та їх відлагодження з використанням Ida або x64dbg.
- Blobrunner релізи
- jmp2it скомпільована версія
- Cutter пропонує емуляцію та інспекцію шеллкоду з графічним інтерфейсом користувача, підкреслюючи відмінності у роботі з файлом шеллкоду порівняно з безпосереднім шеллкодом.
Деобфускація та аналіз
-
scdbg надає відомості про функції шеллкоду та можливості деобфускації. %%%bash scdbg.exe -f shellcode # Базова інформація scdbg.exe -f shellcode -r # Звіт про аналіз scdbg.exe -f shellcode -i -r # Інтерактивні гачки scdbg.exe -f shellcode -d # Виведення розкодованого шеллкоду scdbg.exe -f shellcode /findsc # Пошук початкового зміщення scdbg.exe -f shellcode /foff 0x0000004D # Виконання з зміщення %%%
-
CyberChef для розбору шеллкоду: Рецепт CyberChef
Movfuscator
- Обфускатор, який замінює всі інструкції на
mov. - Корисні ресурси включають пояснення на YouTube та слайди PDF.
- demovfuscator може розшифрувати обфускацію movfuscator, вимагаючи залежностей, таких як
libcapstone-devтаlibz3-dev, та встановлення keystone.
Delphi
- Для бінарних файлів Delphi рекомендується використовувати IDR.
Курси
- https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
- https://github.com/malrev/ABD
Деобфускація бінарних файлів
Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!
Інші способи підтримки HackTricks:
- Якщо ви хочете побачити вашу компанію в рекламі на HackTricks або завантажити HackTricks у PDF-форматі, перевірте ПЛАНИ ПІДПИСКИ!
- Отримайте офіційний мерч PEASS & HackTricks
- Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
- Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks і HackTricks Cloud репозиторіїв на GitHub.