ReverseCraft

Video Details

ReverseCraft #5 - Packery

Czas trwania:
47 minut (opublikowano 2009-08-19)

Opis:
W piątym odcinku prezentuje zasadę działania packerów/protektorów plików wykonywalnych, oraz pokazuję jak stworzyć bardzo prosty programik szyfrujący pierwszą sekcję exeka.

Linki do video:

Odcinek 5 na UW-Team.org (flash player/download)
Odcinek 5 na VIDEOarty (flash player)

Materiały:

Slajdy - slajdy użyte w videoarcie
Lista ćwiczeń - lista ćwiczeń dla osób zainteresowanych; rozwiązania można wysyłać mi na e-mail (potem zrobię do tego odpowiedni panelik), w celu weryfikacji/pochwalenia się/innym (e-mail: michael MAŁPA hispasec KROPKA com)
Źródła packera - źródła packera napisanego podczas trwania piątego odcinka

Informacje uzupełniające:

Algorytm działania packera (sc.cpp):

1. Wczytanie pliku PE
2. Stworzenie nowej sekcji SimpCryp, i jej skonfigurowanie
3. Wczytanie skompilowanej wersji loadera; ustawienie loadera jako dane nowej sekcji
4. Zmiana OptionalHeader.SizeOfImage, OptionalHeader.AddressOfEntryPoint oraz praw dostępu do pierwszej sekcji
5. Ustawienie pierwszych trzech DWORDów w loaderze na OEP, VA początku pierwszej sekcji i wielkość pierwszej sekcji
6. Zaszyfrowanie pierwszej sekcji (XOR i ADD)
7. Zapis PE do pliku

Algorytm działania loadera (loader.asm):

1. Ustalenie adresu zmiennych OEP, SecStart i SecSize
2. Zapis stanu środowiska (ESI, ECX)
3. Rozszyfrowanie sekcji
4. Przywrócenie stanu środowiska (ECX, ESI)
5. Skok do OEP (Original Entry Point)

Użyte narzędzia:

Ent - aplikacja do pomiaru entropii pliku
PEview 0.9.8 - program prezentujący strukturę plików PE w wygodny sposób
OllyDbg 1.10 - trochę już podstarzały, ale nadal dający radę, darmowy debugger pod Windowsa
Immunity Debugger - tego co prawda nie używałem, ale jest to godny polecenia debugger oparty o silnik OllyDbg
IDA Pro - najlepszy istniejący interaktywny disassembler (również w wersji freeware, niestety jest to starsza edycja)
MinGW GCC - port kompilatora GCC na systemy z rodziny Windows
Netwide Assembler (nasm) - świetny assembler do tworzenia loaderów, patchy i shellcode'ów
Total Commander - świetny i bardzo wygodny menadżer plików pod systemy z rodziny Windows

Video Tutorials

ReverseCraft:

ReverseCraft #1 - Pilot - odcinek pilotażowy, w którym prezentuje przykładową analizę i modyfikację prostej aplikacji
ReverseCraft #2 - Podstawy budowy plików PE - odcinek drugi, w którym zaczynamy poznawać Windowsowe 'exeki'
ReverseCraft #3 - Pamięć, proces i PE - odcinek trzeci, w którym pokazuje co znajduje się w pamięci procesu
ReverseCraft #4 - Narzędzia i analiza - odcinek czwarty, w którym prezentuje różne narzędzia wykorzystywane w różnych momentach analizy
ReverseCraft #5 - Packery - w piątym odcinku prezentuje zasadę działania packerów/protektorów plików wykonywalnych, oraz pokazuję jak stworzyć bardzo prosty programik szyfrujący pierwszą sekcję exeka
ReverseCraft Assembler #1 - Bliżej systemu... - odcinek pilotażowy nowej serii ReverseCraft, o assemblerze (a w przypadku tego odcinku - o podstawach assemblera), którą będę rozwijał równolegle do oryginalnej serii
ReverseCraft #6 - OEP i zrzuty pamięci - odcinek szósty, w którym poruszam problematykę lokalizacji OEP (oryginalnego punktu wejścia) oraz omawiam kolejne narzędzia do wykonywania zrzutów pamięci
ReverseCraft Assembler #2 - Opcode - drugi odcinek serii o assemblerze, opowiadający o budowie pojedynczej instrukcji maszynowej x86, oraz o tym, jak wpływa to na budowę instrukcji w assemblerze
ReverseCraft #7 - Inline hooks, DLL injection - siódmy odcinek ReverseCraft, w którym prezentuje połączone techniki DLL injection oraz inline hooks
ReverseCraft #8 - Użycie obcego kodu - ósmy odcinek serii ReverseCraft, w którym prezentuje 4 metody wykorzystania/włączenia obcego kodu do swojej aplikacji
ReverseCraft Assembler #3 - EFLAGS, skoki - trzeci odcinek RA, tym razem o rejestrze flagowym EFLAGS, oraz o wpływie instrukcji arytmetyczno-logicznych na flagi tego rejestru, a także o wpływie flag na skoki i inne instrukcje warunkowe

Konsultacje

Dla zainteresowanych przygotowałem konsultacje/korepetycje/osobiste lekcje z:

podstaw reverse engineeringu
programowania w C/C++/Asm x86
podstaw security (webhacking, vulnerability research / exploiting, inne)
oraz innych pokrewnych tematów

Cenę starałem się dobrać tak aby zadowolić większość (a jak wiadomo to jest niełatwe ;>) i obecnie wynosi ona 40zł za godzinę. Konsultacje odbywają się via dowolny, z góry ustalony komunikator audio/video, który uda nam się zmusić do działania (np. Skype), w ustalonym przez nas terminie.

Proponowane przeze mnie terminy konsultacji to:

Poniedziałki, godz. 20:00 do 22:00 (2 x 1h, lub 2h pod rząd)
Środa, godz. 15:00 do 17:00 (j/w)
Piątek, godz. 17:00 do 19:00 (j/w)

Szczegóły oraz więcej informacji można znaleźć na moim blogu. Dodam iż sporą część funduszy zebranych w ten sposób planuje przeznaczyć na rozwój projektu ReverseCraft ;>