Engenharia Reversa, Assembly, Malware, Software, Tutorial

A maioria de Malwares são enviados pela internet para infectar vitimas, mas pode acontecer que a vitima seja infectada com dispositivo como o Pen Drive.  Este worm  foi envido por e-mail, pode vim como um ícone de uma PASTA ou de imagem conforme a manipulação da extensão. Ele pode se replicar em USBs e Pen drives. e etc. Ao abrir o malware no identificador DIE, o resultado que ele retornou que esta com um packer chamado  MEW ( conhecido como MORPHINE ), provavelmente  v1.1. O atacante faz esse tipo proteção do malware para não só diminuir o tamanho mas para ofuscar o código e dificultar o trabalho na hora de analisar. Essa e outros tipos de proteção que o malware foi submetido é uma técnica chamada de anti-revese, é a onde o autor do malware submete a varias camadas de proteção, para deixar  indetectável pelo anti-virus, bypass firewall, e etc. Na verdade deixa ele camuflado. Para tirar essa proteção utilizei o XVOLKOLAK que tirou o packer do nosso arquivo, depois f

Muitos programas são protegidos por um packer  (" VMProtect ,UPX,Themida ... ")  para manter a integridade do seu código dificultando para quem tentar analisar seu código através de um debug como o famoso OllyDbg. Essa é uma técnica de anti-revese que alem de comprimir o artefato também deixa quase que impossível  alguém ver o código protegido pelo packer, se o analista não tiver um conhecimento avançado com técnicas anti-revese para fazer o Unpacker manualmente a analise dele acaba ali mesmo. Existem programas que fazer todo o trabalho de unpacker facilitando nossa vida, como o  xvolkolak que tem uma lista com vários packer famosos, utilizo bastante esse programa que livre e ate agora não teve nenhum packer que ele não quebrou. Para iniciar o processo arraste o artefato ate a janela do  xvolkolak   ou manualmente ... e navegue ate o arquivo. Automaticamente ele escaneia para ver se esta com algum packer de sua lista, se nao estiver ele retorna na tela com

Aqui vou por os links dos meus tutoriais de egenharia reversa. Vale lembrar que engenharia reversa é completamente legal desde que não utilize aplicativos comerciais ou que não infrinja nenhum direito autoral. Nos meus tutoriais foram utilizados programas criados exclusivamente para esse tipo de estudo TUTORIAIS - Tutorial #1  -  Encontrando a mensagem secreta  - Nível 1/10 - 23/09/06 - Tutorial #2  -  Buscando a senha correta  - Nível 1/10 - 25/09/06 - Tutorial #3  -  Entendendo algorítmos  - Nível 2/10 - 25/09/06 - Tutorial #4  -  Removendo Nag Screens - Nível 1/10 - 01/10/06 - Tutorial #5  -  Criando um Patcher  - Nível 2/10 - 01/10/06 - Tutorial #6  -  Descompactando UPX  - Nível 2/10 - 03/10/06 - Tutorial #7  -  Armadilhas e alteração do código  - Nível 2/10 - 17/10/06 - Tutorial #8  -  Alterando controles  - Nível 1/10 - 25/10/06 - Tutorial #9  -  Solução do Desafio #1  - Nível 3/10 - 25/10/06 - Tutorial #10  -  Injetando códigos  - Nível 2/10 - 31/10/06 - Tutorial #11

Neste tutorial vamos ver como injetar novos códigos em um executável já compilado. Vamos modificar o bloco de notas do windows para que exiba uma simples mensagem de texto ( pois é uma das função mais fáceis que o Windows fornece ) quando for iniciado. Antes de tudo, faça uma cópia do bloco de notas ( C:\WINDOWS\notepad.exe ) para uma pasta qualquer ( vamos usar essa cópia, pra preservar o original ). O que nós vamos fazer é o seguinte: desviar o início do código do notepad para outro local, exibir a mensagem e depois retornar ao ponto original. Para fazer isso, precisamos encontrar na seção do código do notepad, um local vazio, que não altere a funcionalidade do programa, o que é chamado de "Code-cave". Abra o notepad.exe no Olly e role o código para baixo. Lá pelo offset 8747 você deve encontrar o início da code-cave, uma seção sem código algum, apenas com valores 00: Essa região a partir de 8747 é a que vamos utilizar para escrever nosso código. Como diss

Este e um keygen simples feito em python, ele e voltado  a resolver um algoritmo de um crack-me que encontrei  na net, e como agente não ver por ai como é feito um keygen fiz o meu próprio em um script bem simples mas que funciona. lembrando que isso deve ser usado para fiz educacionais. ############################## # Autor: Aof                                       # # date: 09/06/2018                            #  # name: KEyGen User and Pass      # ############################## string =  input (' user:  ')                        #entrada do usuario const = 51651293                             #serial inicial. obs uma constante print (' Pass for user:  '+string) #loop que faz o Bitwise for  i  in  string:     x= ord(i)                                           #pega o valor ascii do 'i' e move para o x      #print(x)     const += x                                      #soma o const com o valor de x   print (const)                 

Nesse tutor você vai aprender a mudar o entry point  de qual binário usando uma ferramenta muita boa. Estou falando do OllyDbg, essa e mas uma técnica  que se pode fazer com o olly. Tools: vamos usar o OllyDbg e ExeInfor PE,    Alvo: Change OEP 1  Abra o nosso  programa teste Change OEP no olly FILE>OPEN . ou arraste o arquivo para dentro do olly. perceba que o olly ja deixa selecionado   o Original Entry Point no nosso casso e o endereço 00401280 e nos iremos mudar para o endereço  00401340. 2 V amos alterar o entry point para o 00401340 onde esta nossa MessageBox e nosso site. 3 Primeiro vc click nesse butao com  a letra " M ", que e uma atalho para uma janela chamada Memory Map. 4 Na janela Memory Map  existem varias colunas, nossas colunas principais sao Address e Size, para facilitar selecione o local onde esta o OEP, der dois clicks na linha selecionada a baixo. 5 Vai abrir outra janela com

No inicio dos meus estudos autodidata em Engenharia Reversa, me deparei com um programa chamado UPX que tem uma função de comprimir e ofuscar o código de qualquer software, ou seja, usado pelo pessoal que quer dificultar analise do artefato. Ele é muito usado por ser um software livre sem custo algum. Existe muitos software que fazer esse trabalho de ofuscação e compressão de executável (Ex: Asprotect, VMprotect,Themida, Armadillo e etc.), mas são pagos . Para podemos embaralhar o código de qualquer programas devemos usar um programa que faz packer como o UPX livre para você  usar quantas vezes quiser No inicia de todo processo precisamos abrir o prompt de comando. Na pasta onde o arquivo esta pressione shift + botão direito do mouse. Vai exibir o menu procure por (abrir terminal). Abri-rá um terminal uma tela toda preta. No meu esta abrir janela do powershell   mas é quase a mesma coisa. Exibira uma janela igual essa. digite o nome do packer UPX e der Enter

Resolvi traduzi esse debug por ser o mas usado, e pra ajudar a galera que ta iniciando como eu hehe. Eu fiz algumas alterações somente no menu mas se a galera gosta fasso o resto. Tentei ser o mas simples possivel nessa traduçao pra todo mundo entender o que ta fazendo,  Coloquei tbm dois links um do blogger e do forum que sou membro Espero que todos gostem Servidor Tag Olly em portugues Ollydbg Ollydbg br Ollydbg em portugues Cracking Serial Fishing Hackers Hack Tools Caveira tech Analise Crackme Er Engenharia reversa Malwares Rootkit

Antes de tudo abra o artefato no PEiD, cliclando no botao [...] abrira uma janela, procure pelo arquivo. Para fazer Unpacking de um file e necessário ter o plugin PEiD Generic Unpacker: Clicke no botao |  -> |  plugins | PEiD Generic Unpacker  Sera exibido uma janela como esta abaixo, click no botão |  -> |   e automaticamente ele detecta o OEP (" Original entry Point ") , quando mudar de "Detect.." e aparecer tipo 403002, é porque ele encontrou o OEP do artefato, tem uma possibilidade 98% do PEiD detectar. Agora click no botão Unpack para iniciar o processo de Desempacotar o artefato. Automaticamente exibira a janela de reconstrução de Importes com o plugin ImpREC, click em Sim para confirma a reconstrução.  Logo apos tudo ser feito, no mesmo diretório do artefato que estamos manipulando, ele sera salvo com o final .unpacked como  a imagem abaixo. Agora execute novamente o artefato no PEiD para ver se foi totalmente

O software de identificação de file PEiD pra mim é um dos melhores que ja foi feito, existem outros eu sei que também são bons, concordo. Mas na verdade quando estou na analise de um arquivo uso mas de um indentificador para obter mas resultados com maior precisão. O que é identificador ? Um identificador é útil para coletar informações sobre um determinado arquivo, se ele esta com proteçao anti-debug ou anti-reversing, ou seja,  packs, cryptors, compilers ou  se não  estiver com nenhuma proteção, pode-se ver qual linguagem de programação  foi feito. Com essa coletar de informaçoes ficar mais facil analisar qualquer file.  O PEiD detecta  packs, cryptors e compilers  Para vc pode abrir um arquivo no PEiD, simplesmente pegue o arquivo e arrasta ate o PEiD e solte, como se tivesse movendo uma foto para outra pasta😉 e automaticamente ele exibira o EntryPoint, EP Section, First Bytes e o resultado se esta com proteção de packer ou não. Neste caso abaixo esta com uma