HackTrickstip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Kutambua binaries zilizopakizwa
- ukosefu wa nyuzi: Ni kawaida kukutana na binaries zilizopakizwa ambazo hazina karibu nyuzi yoyote
- Kuna nyuzi nyingi zisizotumika: Pia, wakati malware inatumia aina fulani ya pakka ya kibiashara ni kawaida kukutana na nyuzi nyingi zisizo na marejeo. Hata kama nyuzi hizi zipo, hiyo haimaanishi kwamba binary haijapakizwa.
- Unaweza pia kutumia zana fulani kujaribu kubaini ni pakka ipi ilitumika kupakia binary:
- PEiD
- Exeinfo PE
- Language 2000
Mapendekezo Msingi
- Anza kuchambua binary iliyopakizwa kutoka chini katika IDA na uende juu. Unpackers huondoka mara tu msimbo ulioondolewa unapoondoka, hivyo ni vigumu kwa unpacker kuhamasisha utekelezaji kwa msimbo ulioondolewa mwanzoni.
- Tafuta JMP's au CALLs kwa registers au mikoa ya kumbukumbu. Pia tafuta kazi zinazoshughulikia hoja na mwelekeo wa anwani kisha kuita
retn, kwa sababu kurudi kwa kazi katika kesi hiyo kunaweza kuita anwani iliyosukumwa tu kwenye stack kabla ya kuitwa. - Weka breakpoint kwenye
VirtualAllockwani hii inatoa nafasi katika kumbukumbu ambapo programu inaweza kuandika msimbo ulioondolewa. "enda kwa msimbo wa mtumiaji" au tumia F8 ili kupata thamani ndani ya EAX baada ya kutekeleza kazi na "fuata anwani hiyo katika dump". Hujui kama hiyo ndiyo mkoa ambapo msimbo ulioondolewa utaokolewa. VirtualAllocikiwa na thamani "40" kama hoja inamaanisha Soma+Andika+Tekeleza (msimbo fulani unaohitaji utekelezaji utaandikwa hapa).- Wakati wa kuondoa msimbo ni kawaida kukutana na kuita kadhaa kwa operesheni za hesabu na kazi kama
memcopyauVirtualAlloc. Ikiwa unajikuta katika kazi ambayo kwa wazi inafanya tu operesheni za hesabu na labdamemcopy, mapendekezo ni kujaribu kupata mwisho wa kazi (labda JMP au wito kwa baadhi ya register) au angalau kuitwa kwa kazi ya mwisho na uende kwa hiyo kwani msimbo si wa kuvutia. - Wakati wa kuondoa msimbo kumbuka kila wakati unapobadilisha mkoa wa kumbukumbu kwani mabadiliko ya mkoa wa kumbukumbu yanaweza kuashiria kuanza kwa msimbo wa kuondoa. Unaweza kwa urahisi kutupa mkoa wa kumbukumbu ukitumia Process Hacker (mchakato --> mali --> kumbukumbu).
- Wakati wa kujaribu kuondoa msimbo njia nzuri ya kujua ikiwa tayari unafanya kazi na msimbo ulioondolewa (hivyo unaweza tu kutupa) ni kuangalia nyuzi za binary. Ikiwa katika wakati fulani unafanya jump (labda kubadilisha mkoa wa kumbukumbu) na unagundua kwamba nyuzi nyingi zaidi zimeongezwa, basi unaweza kujua unafanya kazi na msimbo ulioondolewa.
Hata hivyo, ikiwa pakka tayari ina nyuzi nyingi unaweza kuona ni nyuzi ngapi zina neno "http" na kuona ikiwa nambari hii inaongezeka. - Unapotoa executable kutoka mkoa wa kumbukumbu unaweza kurekebisha baadhi ya vichwa ukitumia PE-bear.
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.