Rozpakowywania plików 64 bitowych plików PE

2012-07-03 14:08

W magazynie VirusBulletin ukazała się pierwsza część artykułu naszego autorstwa opisującego rozpakowywanie 64 bitowych plików PE32+ przy pomocy programu IDA Pro. W drugiej części zostanie omówiony ten sam proces, ale z użyciem WinDbg oraz automatyzacja procesu za pomocą pakietu IDAPython.

Dla wszystkich zainteresowanych przedstawiamy jeden z naszych testowych plików, których zresztą używamy podczas oceny siły zabezpieczeń packera / protektora dla plików EXE w formacie PE32+. Kod jest w formacie asemblera FASM.

; Example of 64-bit PE program



format PE64 GUI

entry start ;Entry point definition



;DATA SECTION

section '.data' data readable writeable



  _caption db 'Win64 assembly program',0

  _message db 'Hello World!',0



;CODE SECTION

section '.text' code readable executable



start:

    sub rsp,8*5         ; reserve stack for API use and make stack dqword aligned



    mov r9d,0

    mov r8,_caption

    mov rdx,_message

    xor rcx,rcx

    call [MessageBoxA]



    mov ecx,eax

    call [ExitProcess]



; IMPORT SECTION

section '.idata' import data readable writeable



  dd 0,0,0,RVA krnl_name,RVA krnl_tbl

  dd 0,0,0,RVA user_name,RVA user_tbl

  dd 0,0,0,0,0



  krnl_tbl:

    ExitProcess dq RVA _ExitProcess

    dq 0

  user_tbl:

    MessageBoxA dq RVA _MessageBoxA

    dq 0



  krnl_name db 'KERNEL32.DLL',0

  user_name db 'USER32.DLL',0



  _ExitProcess dw 0

    db 'ExitProcess',0

  _MessageBoxA dw 0

    db 'MessageBoxA',0

http://www.virusbtn.com/vba/2012/07/vb201207-unpacking-x64

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej