Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/reversing/cryptographic-algorithms/unpacking-binaries.md
Translator workflow 9f40607d8c Translated to Afrikaans
2024-02-11 02:07:06 +00:00

5.5 KiB
Raw Blame History

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Identifisering van gepakte binaêre lêers

  • Gebrek aan strings: Dit is algemeen om te vind dat gepakte binaêre lêers amper geen strings het nie.
  • Baie ongebruikte strings: Wanneer 'n kwaadwillige program van 'n soort kommersiële pakkingsprogram gebruik maak, is dit algemeen om baie strings sonder kruisverwysings te vind. Selfs as hierdie strings bestaan, beteken dit nie noodwendig dat die binaêre lêer nie gepak is nie.
  • Jy kan ook van sommige hulpmiddels gebruik maak om te probeer uitvind watter pakkingsprogram gebruik is om 'n binaêre lêer te pak:
  • PEiD
  • Exeinfo PE
  • Language 2000

Basiese Aanbevelings

  • Begin deur die gepakte binaêre lêer van onder af in IDA te analiseer en beweeg opwaarts. Ontpakkingsprogramme eindig wanneer die ontpakte kode eindig, so dit is onwaarskynlik dat die ontpakker die uitvoering aan die ontpakte kode oordra aan die begin.
  • Soek na JMP's of CALLs na registers of geheuegebiede. Soek ook na funksies wat argumente druk en 'n adresrigting en dan retn oproep, omdat die terugkeer van die funksie in daardie geval die adres kan oproep wat net voor dit op die stapel gedruk is.
  • Plaas 'n afbreking op VirtualAlloc, omdat dit spasie in die geheue toewys waar die program ontpakte kode kan skryf. Voer die "run to user code" uit of gebruik F8 om waarde binne EAX te kry na die uitvoering van die funksie en "volg daardie adres in die dump". Jy weet nooit of dit die gebied is waar die ontpakte kode gestoor gaan word nie.
  • VirtualAlloc met die waarde "40" as 'n argument beteken Lees+Skryf+Uitvoer (daar gaan 'n kode gekopieer word wat uitgevoer moet word).
  • Terwyl jy kode ontpak, is dit normaal om verskeie oproepe na aritmetiese bewerkings en funksies soos memcopy of VirtualAlloc te vind. As jy jouself in 'n funksie bevind wat blykbaar slegs aritmetiese bewerkings uitvoer en miskien 'n memcopy, is die aanbeveling om te probeer die einde van die funksie te vind (miskien 'n JMP of oproep na 'n register) of ten minste die oproep na die laaste funksie en hardloop dan daarna, aangesien die kode nie interessant is nie.
  • Terwyl jy kode ontpak, merk jy elke keer as jy 'n geheuegebied verander, aangesien 'n verandering in geheuegebied die begin van die ontpakkingkode kan aandui. Jy kan maklik 'n geheuegebied aflaai deur gebruik te maak van Process Hacker (proses --> eienskappe --> geheue).
  • Terwyl jy probeer kode ontpak, is 'n goeie manier om te weet of jy al met die ontpakte kode werk (sodat jy dit net kan aflaai) om die strings van die binaêre lêer te ondersoek. As jy op 'n punt 'n sprong uitvoer (dalk deur die geheuegebied te verander) en jy besef dat baie meer strings bygevoeg is, kan jy weet jy werk met die ontpakte kode.
    As die pakkingsprogram egter al baie strings bevat, kan jy sien hoeveel strings die woord "http" bevat en sien of hierdie getal toeneem.
  • Wanneer jy 'n uitvoerbare lêer aflaai van 'n geheuegebied, kan jy sommige koppele aanpas deur PE-bear te gebruik.
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: