Ofuscando Código de Malware e software


No inicio dos meus estudos autodidata em Engenharia Reversa, me deparei com um programa chamado UPX que tem uma função de comprimir e ofuscar o código de qualquer software, ou seja, usado pelo pessoal que quer dificultar analise do artefato. Ele é muito usado por ser um software livre sem custo algum.
Existe muitos software que fazer esse trabalho de ofuscação e compressão de executável (Ex: Asprotect, VMprotect,Themida, Armadillo e etc.), mas são pagos.



Para podemos embaralhar o código de qualquer programas devemos usar um programa que faz packer como o UPX livre para você  usar quantas vezes quiser
No inicia de todo processo precisamos abrir o prompt de comando.


Na pasta onde o arquivo esta pressione shift + botão direito do mouse. Vai exibir o menu procure por (abrir terminal). Abri-rá um terminal uma tela toda preta. No meu esta abrir janela do powershell  mas é quase a mesma coisa.




Exibira uma janela igual essa. digite o nome do packer UPX e der Enter.




Agora podemos ver todos os recursos da ferramenta.




Para comprimir e ofuscar digite upx meuprograma.exe e automaticamente ele aplicara todo o processo no artefato e seu arquivo estará comprimido e seu código ofuscado.






Download: Servidor




Tags

Como compaquitar
fazendo unpacker
Unpacking
Como descompaquitar software
Como descopilar software
 Ofusca
obfusca
como diminuir o tamanho de um malware

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Como usar o PEiD

Imagem
O software de identificação de file PEiD pra mim é um dos melhores que ja foi feito, existem outros eu sei que também são bons, concordo. Mas na verdade quando estou na analise de um arquivo uso mas de um indentificador para obter mas resultados com maior precisão. O que é identificador ? Um identificador é útil para coletar informações sobre um determinado arquivo, se ele esta com proteçao anti-debug ou anti-reversing, ou seja,  packs, cryptors, compilers ou  se não  estiver com nenhuma proteção, pode-se ver qual linguagem de programação  foi feito. Com essa coletar de informaçoes ficar mais facil analisar qualquer file.  O PEiD detecta  packs, cryptors e compilers  Para vc pode abrir um arquivo no PEiD, simplesmente pegue o arquivo e arrasta ate o PEiD e solte, como se tivesse movendo uma foto para outra pasta😉 e automaticamente ele exibira o EntryPoint, EP Section, First Bytes e o resultado se esta com proteção de packer ou nã...
Leia mais

INJETANDO CÓDIGOS

Imagem
Neste tutorial vamos ver como injetar novos códigos em um executável já compilado. Vamos modificar o bloco de notas do windows para que exiba uma simples mensagem de texto ( pois é uma das função mais fáceis que o Windows fornece ) quando for iniciado. Antes de tudo, faça uma cópia do bloco de notas ( C:\WINDOWS\notepad.exe ) para uma pasta qualquer ( vamos usar essa cópia, pra preservar o original ). O que nós vamos fazer é o seguinte: desviar o início do código do notepad para outro local, exibir a mensagem e depois retornar ao ponto original. Para fazer isso, precisamos encontrar na seção do código do notepad, um local vazio, que não altere a funcionalidade do programa, o que é chamado de "Code-cave". Abra o notepad.exe no Olly e role o código para baixo. Lá pelo offset 8747 você deve encontrar o início da code-cave, uma seção sem código algum, apenas com valores 00: Essa região a partir de 8747 é a que vamos utilizar para escrever nosso código. Como diss...
Leia mais