Recomendados
Recomendados
Más contenido relacionado
Más de navajanegra
Más de navajanegra (20)
Último
Último (11)
A brief introduction to reversing code with OllyDbg and other tools
- 1. A brief introduction to reversing code Longinos Recuero Bustos http://longinox.blogspot.com.es longinos.recuero.bustos@gmail.com @L0ngin0s 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 2. definición Es el proceso para el descubrimiento de los principios tecnológicos de un dispositivo, objeto o sistema Necesidad Proceso de Producto o o problema Ingeniería solución Principios Proceso de Ing. Inversa Producto tecnológicos 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 3. dominios Ingeniería inversa del hardware Ingeniería inversa del software 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 4. Motivaciones / usos Compatibilidad e Interoperabilidad Espionaje: industrial, militar. Documentación. Auditorias de seguridad. Eliminación de restricciones. Análisis: forense, malware, ... Académicos. Curiosidad. 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 5. requisitos 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 6. Conocimientos Arquitectura de computadores (x86, x64, ARM, ...) Opcodes Registros Direccionamientos Endianess Interrupciones, ... Programación (Assembler, C++, ...) MOV AL, 61h ; Load AL with 97 decimal (61 hex) 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 7. Conocimientos Sistemas operativos: Kernel Anillos de privilegio Subprocesos, Hilos API Mensajes ... 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 8. Conocimientos Estructura de los ficheros binarios: PE (Portable and executable) ELF (Executable and Linkable Format) ... 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 9. Conocimientos Estructuras del SS.OO: TIB o TEB (Thread Information Block) PEB (Process Information Block) IAT (Import Address Table) TLS (Thread Local Storage) ... 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 10. herramientas Descompiladores (Decompilers) ILSpy, DJ Java Decompiler, ... Desensambladores (Disassemblers) IDA Pro, OllyDbg, ... Depuradores (Debugguers) IDA Pro, OllyDbg, ... Editores PE PEEditor, CCF Explorer Sute 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 11. herramientas Editores hexadecimales Ultra Edit, HxD, ... Dumps de memoria LordPE Deluxe, ProcDump, ... Monitorización PortMon, Process Explorer, ... Analizadores RDG Packer Detector, PEiD, ... 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 12. aproximaciones Caja blanca Análisis estático. Caja negra Análisis funcional. Caja gris Caja blanca + Caja negra. 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 13. Learn by example Decompilación y análisis estático con ILSpy 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 14. Ollydbg: Breve descripción Desensamblador / depurador de 32-bits para ejecutables Microsoft Windows (.Exe, .Dll, ...) Reconoce: Rutinas Procedimientos Llamadas a las APIs Interrupciones Instrucciones ... Depura aplicaciones multiThread. Parchea archivos ejecutables. 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 15. Learn by example Desensamblado y análisis dinámico con OllyDbg 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 16. Learn by example 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 17. Learn by example 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 18. Learn by example 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 19. Conclusiones 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 20. Conclusiones No tengo talentos especiales, pero sí soy profundamente curioso. Albert Einstein If a program runs, then it’s crackable Métodos de protección: o Ofuscación o AntiDebug o AntiTracing o AntiDumping (Packing / Unpacking) Nanomites (Armadillo) Stolen Bytes (ASProtect) Virtual Machines (Themida) o Criptograficos, ... !Muchas horas de diversión! 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 21. agradecimientos 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 22. agradecimientos A la organización de Navaja Negra A sus patrocinadores Muy especialmente a todos vosotros!!! 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 23. ¿preguntas? 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65
- 24. The end ALBACETE – 0x01 / 0x0C / 0x07DC 4E 61 76 61 6A 61 20 4E 65 67 72 61 20 43 6F 6E 66 65 72 65 6E 63 65 20 3A 3A 20 41 6C 62 61 63 65 74 65