bom galera essa é a 4º parte do artigo, no 2º artigo eu citei como descobrir a linguagem e o compilador que foi codado nesse eu vou citar como ver informação como strings e funçoes executada pelo malware tudo isso com analise estatica, para começar vamos usar um programa que examina a string assim mostrando varias informação do executavel, existem varios como strings (gnu binutils ou sysinternals), bintext, filealyzer, IDA entre outras ferramentas, no exemplo abaixo eu to usando essa source como exemplo [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (para compilar recomendo dev c++), esse programa pede uma senha que é "kodo no kami" para acessar um terminal, porem podemos conseguir essa mesma senha direto nas strings assim provando que strings pode guarda muitas informação relevante
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
outra forma de ver as strings é abrir o executavel com um programa de texto puro (cuidado para nao modificar e salvar pq isso truca o executavel)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
mais nao se engane que sempre sera possivel ler as strings, um bom criador de malware sempre vai codificar elas com tecnicas obfuscação para dificultar uma analise, o mesmo exemplo da source anterior so q agora aquela senha que era "kodo no kami" ta codificada "lpep!op!lbnj" e existe uma função que decodifica ela, segue o link para o codigo no [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
tambem é possivel ver a tabela de funçoes exportadas (EAT) e importadas (IAT) de determinado programa, assim teria uma base do que o malware poderia chegar a fazer ou ate analisar cada uma dessas funçoes dinamicamente, alguns programas que permite descobrir o EAT e IAT que eu recomendo são esses FileAlyzer, PEiD, exeinfope, exescope, IDA entre outros
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
bom galera ate a proxima parte ^^
by kõdo no kami
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
outra forma de ver as strings é abrir o executavel com um programa de texto puro (cuidado para nao modificar e salvar pq isso truca o executavel)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
mais nao se engane que sempre sera possivel ler as strings, um bom criador de malware sempre vai codificar elas com tecnicas obfuscação para dificultar uma analise, o mesmo exemplo da source anterior so q agora aquela senha que era "kodo no kami" ta codificada "lpep!op!lbnj" e existe uma função que decodifica ela, segue o link para o codigo no [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
tambem é possivel ver a tabela de funçoes exportadas (EAT) e importadas (IAT) de determinado programa, assim teria uma base do que o malware poderia chegar a fazer ou ate analisar cada uma dessas funçoes dinamicamente, alguns programas que permite descobrir o EAT e IAT que eu recomendo são esses FileAlyzer, PEiD, exeinfope, exescope, IDA entre outros
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
bom galera ate a proxima parte ^^
by kõdo no kami