Engenharia Reversa, Assembly, Malware, Software, Tutorial

No inicio dos meus estudos autodidata em Engenharia Reversa, me deparei com um programa chamado UPX que tem uma função de comprimir e ofuscar o código de qualquer software, ou seja, usado pelo pessoal que quer dificultar analise do artefato. Ele é muito usado por ser um software livre sem custo algum. Existe muitos software que fazer esse trabalho de ofuscação e compressão de executável (Ex: Asprotect, VMprotect,Themida, Armadillo e etc.), mas são pagos . Para podemos embaralhar o código de qualquer programas devemos usar um programa que faz packer como o UPX livre para você  usar quantas vezes quiser No inicia de todo processo precisamos abrir o prompt de comando. Na pasta onde o arquivo esta pressione shift + botão direito do mouse. Vai exibir o menu procure por (abrir terminal). Abri-rá um terminal uma tela toda preta. No meu esta abrir janela do powershell   mas é quase a mesma coisa. Exibira uma janela igual essa. digite o nome do packer UPX e der Enter

Resolvi traduzi esse debug por ser o mas usado, e pra ajudar a galera que ta iniciando como eu hehe. Eu fiz algumas alterações somente no menu mas se a galera gosta fasso o resto. Tentei ser o mas simples possivel nessa traduçao pra todo mundo entender o que ta fazendo,  Coloquei tbm dois links um do blogger e do forum que sou membro Espero que todos gostem Servidor Tag Olly em portugues Ollydbg Ollydbg br Ollydbg em portugues Cracking Serial Fishing Hackers Hack Tools Caveira tech Analise Crackme Er Engenharia reversa Malwares Rootkit

Antes de tudo abra o artefato no PEiD, cliclando no botao [...] abrira uma janela, procure pelo arquivo. Para fazer Unpacking de um file e necessário ter o plugin PEiD Generic Unpacker: Clicke no botao |  -> |  plugins | PEiD Generic Unpacker  Sera exibido uma janela como esta abaixo, click no botão |  -> |   e automaticamente ele detecta o OEP (" Original entry Point ") , quando mudar de "Detect.." e aparecer tipo 403002, é porque ele encontrou o OEP do artefato, tem uma possibilidade 98% do PEiD detectar. Agora click no botão Unpack para iniciar o processo de Desempacotar o artefato. Automaticamente exibira a janela de reconstrução de Importes com o plugin ImpREC, click em Sim para confirma a reconstrução.  Logo apos tudo ser feito, no mesmo diretório do artefato que estamos manipulando, ele sera salvo com o final .unpacked como  a imagem abaixo. Agora execute novamente o artefato no PEiD para ver se foi totalmente

O software de identificação de file PEiD pra mim é um dos melhores que ja foi feito, existem outros eu sei que também são bons, concordo. Mas na verdade quando estou na analise de um arquivo uso mas de um indentificador para obter mas resultados com maior precisão. O que é identificador ? Um identificador é útil para coletar informações sobre um determinado arquivo, se ele esta com proteçao anti-debug ou anti-reversing, ou seja,  packs, cryptors, compilers ou  se não  estiver com nenhuma proteção, pode-se ver qual linguagem de programação  foi feito. Com essa coletar de informaçoes ficar mais facil analisar qualquer file.  O PEiD detecta  packs, cryptors e compilers  Para vc pode abrir um arquivo no PEiD, simplesmente pegue o arquivo e arrasta ate o PEiD e solte, como se tivesse movendo uma foto para outra pasta😉 e automaticamente ele exibira o EntryPoint, EP Section, First Bytes e o resultado se esta com proteção de packer ou não. Neste caso abaixo esta com uma