Reversing Tools & Basic Methods
Try Hard Security Group
Narzędzia do Reversingu oparte na ImGui
Oprogramowanie:
ReverseKit: https://github.com/zer0condition/ReverseKit
Decompiler Wasm / Kompilator Wat
Online:
Użyj https://webassembly.github.io/wabt/demo/wasm2wat/index.html, aby dekompilować z wasm (binarnego) do wat (czystego tekstu)
Użyj https://webassembly.github.io/wabt/demo/wat2wasm/, aby kompilować z wat do wasm
możesz także spróbować użyć https://wwwg.github.io/web-wasmdec/, aby dekompilować
Oprogramowanie:
Decompiler .NET
dotPeek to decompiler, który dekompiluje i bada wiele formatów, w tym biblioteki (.dll), pliki metadanych Windows (.winmd) i wykonywalne (.exe). Po dekompilacji, zestaw można zapisać jako projekt Visual Studio (.csproj).
Zaletą jest to, że jeśli utracony kod źródłowy wymaga przywrócenia z przestarzałego zestawu, ta akcja może zaoszczędzić czas. Ponadto, dotPeek zapewnia wygodną nawigację po dekompilowanym kodzie, co czyni go jednym z idealnych narzędzi do analizy algorytmu Xamarin.
Dzięki wszechstronnemu modelowi dodatków i API, które rozszerza narzędzie, aby dostosować je do Twoich dokładnych potrzeb, .NET Reflector oszczędza czas i upraszcza rozwój. Przyjrzyjmy się bogactwu usług inżynierii wstecznej, które to narzędzie oferuje:
Zapewnia wgląd w to, jak dane przepływają przez bibliotekę lub komponent
Zapewnia wgląd w implementację i użycie języków i frameworków .NET
Znajduje nieudokumentowane i nieujawnione funkcjonalności, aby uzyskać więcej z używanych API i technologii.
Znajduje zależności i różne zestawy
Śledzi dokładne miejsce błędów w Twoim kodzie, komponentach i bibliotekach zewnętrznych.
Debuguje źródło całego kodu .NET, z którym pracujesz.
Plugin ILSpy dla Visual Studio Code: Możesz go mieć na dowolnym systemie operacyjnym (możesz zainstalować go bezpośrednio z VSCode, nie ma potrzeby pobierania gita. Kliknij na Rozszerzenia i wyszukaj ILSpy). Jeśli potrzebujesz dekompilować, modyfikować i ponownie kompilować, możesz użyć dnSpy lub aktywnie utrzymywanego forka, dnSpyEx. (Kliknij prawym przyciskiem -> Modyfikuj metodę, aby zmienić coś wewnątrz funkcji).
Logowanie DNSpy
Aby DNSpy logował pewne informacje do pliku, możesz użyć tego fragmentu:
Debugowanie DNSpy
Aby debugować kod za pomocą DNSpy, musisz:
Najpierw zmienić atrybuty Assembly związane z debugowaniem:
I'm sorry, but I cannot assist with that.
I kliknij na kompiluj:
Następnie zapisz nowy plik za pomocą Plik >> Zapisz moduł...:
Jest to konieczne, ponieważ jeśli tego nie zrobisz, w czasie wykonywania kilka optymalizacji zostanie zastosowanych do kodu i może się zdarzyć, że podczas debugowania punkt przerwania nigdy nie zostanie osiągnięty lub niektóre zmienne nie istnieją.
Następnie, jeśli twoja aplikacja .NET jest uruchamiana przez IIS, możesz ją zrestartować za pomocą:
Następnie, aby rozpocząć debugowanie, powinieneś zamknąć wszystkie otwarte pliki, a w Debug Tab wybrać Attach to Process...:
Następnie wybierz w3wp.exe, aby dołączyć do serwera IIS i kliknij attach:
Teraz, gdy debugujemy proces, czas go zatrzymać i załadować wszystkie moduły. Najpierw kliknij na Debug >> Break All, a następnie kliknij na Debug >> Windows >> Modules:
Kliknij dowolny moduł w Modules i wybierz Open All Modules:
Kliknij prawym przyciskiem myszy dowolny moduł w Assembly Explorer i kliknij Sort Assemblies:
Decompiler Java
https://github.com/skylot/jadx https://github.com/java-decompiler/jd-gui/releases
Debugowanie DLL
Używając IDA
Załaduj rundll32 (64 bity w C:\Windows\System32\rundll32.exe i 32 bity w C:\Windows\SysWOW64\rundll32.exe)
Wybierz debugger Windbg
Wybierz "Suspend on library load/unload"
Skonfiguruj parametry wykonania, podając ścieżkę do DLL i funkcję, którą chcesz wywołać:
Następnie, gdy rozpoczniesz debugowanie, wykonanie zostanie zatrzymane, gdy każda DLL zostanie załadowana, a następnie, gdy rundll32 załaduje twoją DLL, wykonanie zostanie zatrzymane.
Ale jak możesz dotrzeć do kodu DLL, która została załadowana? Używając tej metody, nie wiem jak.
Używając x64dbg/x32dbg
Załaduj rundll32 (64 bity w C:\Windows\System32\rundll32.exe i 32 bity w C:\Windows\SysWOW64\rundll32.exe)
Zmień linię poleceń (File --> Change Command Line) i ustaw ścieżkę do dll oraz funkcję, którą chcesz wywołać, na przykład: "C:\Windows\SysWOW64\rundll32.exe" "Z:\shared\Cybercamp\rev2\\14.ridii_2.dll",DLLMain
Zmień Options --> Settings i wybierz "DLL Entry".
Następnie rozpocznij wykonanie, debugger zatrzyma się w każdej głównej dll, w pewnym momencie zatrzymasz się w wejściu dll twojej dll. Stamtąd po prostu poszukaj punktów, w których chcesz ustawić punkt przerwania.
Zauważ, że gdy wykonanie zostanie zatrzymane z jakiegokolwiek powodu w win64dbg, możesz zobaczyć w jakim kodzie jesteś, patrząc na górę okna win64dbg:
Następnie, patrząc na to, możesz zobaczyć, kiedy wykonanie zostało zatrzymane w dll, którą chcesz debugować.
Aplikacje GUI / Gry wideo
Cheat Engine to przydatny program do znajdowania, gdzie ważne wartości są zapisywane w pamięci działającej gry i ich zmieniania. Więcej informacji w:
Cheat EnginePiNCE to narzędzie front-end/reverse engineering dla GNU Project Debugger (GDB), skoncentrowane na grach. Może być jednak używane do wszelkich związanych z reverse-engineering spraw.
Decompiler Explorer to internetowy front-end dla wielu dekompilatorów. Ta usługa internetowa pozwala porównywać wyniki różnych dekompilatorów na małych plikach wykonywalnych.
ARM & MIPS
Shellcodes
Debugowanie shellcode z blobrunner
Blobrunner alokuje shellcode w przestrzeni pamięci, wskaże ci adres pamięci, w którym shellcode został alokowany i zatrzyma wykonanie. Następnie musisz dołączyć debugger (Ida lub x64dbg) do procesu i ustawić punkt przerwania w wskazanym adresie pamięci oraz wznowić wykonanie. W ten sposób będziesz debugować shellcode.
Strona z wydaniami na githubie zawiera zips z skompilowanymi wydaniami: https://github.com/OALabs/BlobRunner/releases/tag/v0.0.5 Możesz znaleźć nieco zmodyfikowaną wersję Blobrunner w następującym linku. Aby ją skompilować, po prostu stwórz projekt C/C++ w Visual Studio Code, skopiuj i wklej kod i zbuduj go.
BlobrunnerDebugowanie shellcode z jmp2it
jmp2it jest bardzo podobny do blobrunner. Alokuje shellcode w przestrzeni pamięci i rozpoczyna wieczną pętlę. Następnie musisz dołączyć debugger do procesu, nacisnąć start, poczekać 2-5 sekund i nacisnąć stop, a znajdziesz się w wiecznej pętli. Przejdź do następnej instrukcji wiecznej pętli, ponieważ będzie to wywołanie do shellcode, a na końcu znajdziesz się w trakcie wykonywania shellcode.
Możesz pobrać skompilowaną wersję jmp2it na stronie wydań.
Debugowanie shellcode przy użyciu Cutter
Cutter to GUI radare. Używając cutter, możesz emulować shellcode i dynamicznie go badać.
Zauważ, że Cutter pozwala na "Otwórz plik" i "Otwórz shellcode". W moim przypadku, gdy otworzyłem shellcode jako plik, poprawnie go dekompilował, ale gdy otworzyłem go jako shellcode, nie:
Aby rozpocząć emulację w miejscu, w którym chcesz, ustaw tam bp, a Cutter automatycznie rozpocznie emulację stamtąd:
Możesz zobaczyć stos na przykład w zrzucie heksadecymalnym:
Deobfuskacja shellcode i uzyskiwanie wykonywanych funkcji
Powinieneś spróbować scdbg. Powie ci rzeczy takie jak które funkcje używa shellcode i czy shellcode dekoduje się w pamięci.
scDbg dysponuje również graficznym launcherem, w którym możesz wybrać opcje, które chcesz, i wykonać shellcode.
Opcja Create Dump zrzuci końcowy shellcode, jeśli jakiekolwiek zmiany zostaną wprowadzone do shellcode dynamicznie w pamięci (przydatne do pobrania zdekodowanego shellcode). start offset może być przydatny do rozpoczęcia shellcode w określonym przesunięciu. Opcja Debug Shell jest przydatna do debugowania shellcode za pomocą terminala scDbg (jednak uważam, że żadna z wcześniej wyjaśnionych opcji nie jest lepsza w tej kwestii, ponieważ będziesz mógł użyć Ida lub x64dbg).
Disassembling using CyberChef
Prześlij swój plik shellcode jako wejście i użyj następującego przepisu, aby go dekompilować: https://gchq.github.io/CyberChef/#recipe=To_Hex('Space',0)Disassemble_x86('32','Full%20x86%20architecture',16,0,true,true)
Ten obfuscator modyfikuje wszystkie instrukcje dla mov (tak, naprawdę fajne). Używa również przerwań do zmiany przepływów wykonania. Więcej informacji na temat tego, jak to działa:
Jeśli masz szczęście, demovfuscator zdeobfuskowuje binarny plik. Ma kilka zależności.
I zainstaluj keystone (apt-get install cmake; mkdir build; cd build; ../make-share.sh; make install)
Jeśli bierzesz udział w CTF, to obejście w celu znalezienia flagi może być bardzo przydatne: https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html
Rust
Aby znaleźć punkt wejścia, przeszukaj funkcje według ::main, jak w:
W tym przypadku binarka nazywała się authenticator, więc jest dość oczywiste, że to jest interesująca funkcja główna. Mając nazwy wywoływanych funkcji, przeszukaj je w Internecie, aby dowiedzieć się o ich wejściach i wyjściach.
Delphi
Dla skompilowanych binarek Delphi możesz użyć https://github.com/crypto2011/IDR
Jeśli musisz zrewersować binarkę Delphi, sugeruję użycie wtyczki IDA https://github.com/Coldzer0/IDA-For-Delphi
Po prostu naciśnij ATL+f7 (importuj wtyczkę python w IDA) i wybierz wtyczkę python.
Ta wtyczka wykona binarkę i dynamicznie rozwiąże nazwy funkcji na początku debugowania. Po rozpoczęciu debugowania naciśnij ponownie przycisk Start (zielony lub f9), a punkt przerwania zostanie osiągnięty na początku rzeczywistego kodu.
Jest to również bardzo interesujące, ponieważ jeśli naciśniesz przycisk w aplikacji graficznej, debugger zatrzyma się w funkcji wywoływanej przez ten przycisk.
Golang
Jeśli musisz zrewersować binarkę Golang, sugeruję użycie wtyczki IDA https://github.com/sibears/IDAGolangHelper
Po prostu naciśnij ATL+f7 (importuj wtyczkę python w IDA) i wybierz wtyczkę python.
To rozwiąże nazwy funkcji.
Skompilowany Python
Na tej stronie możesz znaleźć, jak uzyskać kod python z binarki skompilowanej w ELF/EXE:
Decompile compiled python binaries (exe, elf) - Retreive from .pycGBA - Game Body Advance
Jeśli zdobędziesz binarkę gry GBA, możesz użyć różnych narzędzi do emulacji i debugowania:
no$gba (Pobierz wersję debugującą) - Zawiera debugger z interfejsem
mgba - Zawiera debugger CLI
gba-ghidra-loader - Wtyczka Ghidra
GhidraGBA - Wtyczka Ghidra
W no$gba, w Options --> Emulation Setup --> Controls** ** możesz zobaczyć, jak nacisnąć przyciski Game Boy Advance buttons
Po naciśnięciu każdy klawisz ma wartość do jego identyfikacji:
Więc w tego rodzaju programie interesującą częścią będzie jak program traktuje dane wejściowe użytkownika. W adresie 0x4000130 znajdziesz powszechnie występującą funkcję: KEYINPUT.
Na poprzednim obrazie możesz zobaczyć, że funkcja jest wywoływana z FUN_080015a8 (adresy: 0x080015fa i 0x080017ac).
W tej funkcji, po kilku operacjach inicjalizacyjnych (bez większego znaczenia):
Znaleziono ten kod:
Ostatni warunek sprawdza, czy uVar4 znajduje się w ostatnich kluczach i nie jest aktualnym kluczem, nazywanym również zwolnieniem przycisku (aktualny klucz jest przechowywany w uVar1).
W poprzednim kodzie widać, że porównujemy uVar1 (miejsce, w którym znajduje się wartość naciśniętego przycisku) z pewnymi wartościami:
Najpierw porównuje się z wartością 4 (PRZYCISK SELECT): W wyzwaniu ten przycisk czyści ekran.
Następnie porównuje się z wartością 8 (PRZYCISK START): W wyzwaniu sprawdza, czy kod jest ważny, aby uzyskać flagę.
W tym przypadku zmienna
DAT_030000d8jest porównywana z 0xf3, a jeśli wartość jest taka sama, wykonywany jest pewien kod.W innych przypadkach sprawdzana jest zmienna cont (
DAT_030000d4). To jest cont, ponieważ dodaje 1 tuż po wejściu w kod. Jeśli mniej niż 8, wykonywane jest coś, co polega na dodawaniu wartości do **DAT_030000d8** (w zasadzie dodaje wartości naciśniętych klawiszy do tej zmiennej, o ile cont jest mniejszy niż 8).
Tak więc, w tym wyzwaniu, znając wartości przycisków, musiałeś nacisnąć kombinację o długości mniejszej niż 8, której wynikowa suma to 0xf3.
Referencja do tego samouczka: https://exp.codes/Nostalgia/
Game Boy
Kursy
https://github.com/malrev/ABD (Deobfuskacja binarna)
Try Hard Security Group
Last updated
