ReverseCraft

Info

Seria ReverseCraft niestety nie będzie już kontynuowana (wyjaśnienie), ale nagrywam/publikuje teraz inne serie videotutoriali (również o sprawach niskopoziomowych, w tym np. kurs assembly) w trochę innej formie. Są dostępne na moim kanale na Youtube. Zachęcam do rzucenia okiem :)

Wszystkie epsy ReverseCraft są również dostępne via Youtube: http://www.youtube.com/user/GynvaelColdwind (playlisty ReverseCraft (PL) oraz ReverseCraft Asm (PL).

Video Details

ReverseCraft #5 - Packery

Czas trwania:
47 minut (opublikowano 2009-08-19)

Opis:
W piątym odcinku prezentuje zasadę działania packerów/protektorów plików wykonywalnych, oraz pokazuję jak stworzyć bardzo prosty programik szyfrujący pierwszą sekcję exeka.

Linki do video:

Odcinek 5 na UW-Team.org (flash player/download)
Odcinek 5 na VIDEOarty (flash player)

Materiały:

Slajdy - slajdy użyte w videoarcie
Lista ćwiczeń - lista ćwiczeń dla osób zainteresowanych; rozwiązania można wysyłać mi na e-mail (potem zrobię do tego odpowiedni panelik), w celu weryfikacji/pochwalenia się/innym (e-mail: michael MAŁPA hispasec KROPKA com)
Źródła packera - źródła packera napisanego podczas trwania piątego odcinka

Informacje uzupełniające:

Algorytm działania packera (sc.cpp):

1. Wczytanie pliku PE
2. Stworzenie nowej sekcji SimpCryp, i jej skonfigurowanie
3. Wczytanie skompilowanej wersji loadera; ustawienie loadera jako dane nowej sekcji
4. Zmiana OptionalHeader.SizeOfImage, OptionalHeader.AddressOfEntryPoint oraz praw dostępu do pierwszej sekcji
5. Ustawienie pierwszych trzech DWORDów w loaderze na OEP, VA początku pierwszej sekcji i wielkość pierwszej sekcji
6. Zaszyfrowanie pierwszej sekcji (XOR i ADD)
7. Zapis PE do pliku

Algorytm działania loadera (loader.asm):

1. Ustalenie adresu zmiennych OEP, SecStart i SecSize
2. Zapis stanu środowiska (ESI, ECX)
3. Rozszyfrowanie sekcji
4. Przywrócenie stanu środowiska (ECX, ESI)
5. Skok do OEP (Original Entry Point)

Użyte narzędzia:

Ent - aplikacja do pomiaru entropii pliku
PEview 0.9.8 - program prezentujący strukturę plików PE w wygodny sposób
OllyDbg 1.10 - trochę już podstarzały, ale nadal dający radę, darmowy debugger pod Windowsa
Immunity Debugger - tego co prawda nie używałem, ale jest to godny polecenia debugger oparty o silnik OllyDbg
IDA Pro - najlepszy istniejący interaktywny disassembler (również w wersji freeware, niestety jest to starsza edycja)
MinGW GCC - port kompilatora GCC na systemy z rodziny Windows
Netwide Assembler (nasm) - świetny assembler do tworzenia loaderów, patchy i shellcode'ów
Total Commander - świetny i bardzo wygodny menadżer plików pod systemy z rodziny Windows

Video Tutorials

ReverseCraft:

ReverseCraft #1 - Pilot - odcinek pilotażowy, w którym prezentuje przykładową analizę i modyfikację prostej aplikacji
ReverseCraft #2 - Podstawy budowy plików PE - odcinek drugi, w którym zaczynamy poznawać Windowsowe 'exeki'
ReverseCraft #3 - Pamięć, proces i PE - odcinek trzeci, w którym pokazuje co znajduje się w pamięci procesu
ReverseCraft #4 - Narzędzia i analiza - odcinek czwarty, w którym prezentuje różne narzędzia wykorzystywane w różnych momentach analizy
ReverseCraft #5 - Packery - w piątym odcinku prezentuje zasadę działania packerów/protektorów plików wykonywalnych, oraz pokazuję jak stworzyć bardzo prosty programik szyfrujący pierwszą sekcję exeka
ReverseCraft Assembler #1 - Bliżej systemu... - odcinek pilotażowy nowej serii ReverseCraft, o assemblerze (a w przypadku tego odcinku - o podstawach assemblera), którą będę rozwijał równolegle do oryginalnej serii
ReverseCraft #6 - OEP i zrzuty pamięci - odcinek szósty, w którym poruszam problematykę lokalizacji OEP (oryginalnego punktu wejścia) oraz omawiam kolejne narzędzia do wykonywania zrzutów pamięci
ReverseCraft Assembler #2 - Opcode - drugi odcinek serii o assemblerze, opowiadający o budowie pojedynczej instrukcji maszynowej x86, oraz o tym, jak wpływa to na budowę instrukcji w assemblerze
ReverseCraft #7 - Inline hooks, DLL injection - siódmy odcinek ReverseCraft, w którym prezentuje połączone techniki DLL injection oraz inline hooks
ReverseCraft #8 - Użycie obcego kodu - ósmy odcinek serii ReverseCraft, w którym prezentuje 4 metody wykorzystania/włączenia obcego kodu do swojej aplikacji
ReverseCraft Assembler #3 - EFLAGS, skoki - trzeci odcinek RA, tym razem o rejestrze flagowym EFLAGS, oraz o wpływie instrukcji arytmetyczno-logicznych na flagi tego rejestru, a także o wpływie flag na skoki i inne instrukcje warunkowe

Legal stuff

ReverseCraft project (c) 2009 gynvael.coldwind//vx
Video tutoriale dostępne są na licencji Creative Commons BY-NC-ND