Escolar Documentos
Profissional Documentos
Cultura Documentos
ANALISADOR DE
EXECUTVEIS
Fernando Mercs
Vale Security Conference 2011
So Jos dos Campos - SP
$ whoami
- Consultor de projetos com software livre na 4Linux
- Bacharelando em Cincia da Computao
- Foco em infraestrutura e segurana da aplicaes
- Membro ativo de diversas comunidades de software livre
- A+, LPIC-2, MCP, MCITP
- Palestrante em eventos como FISL, LinuxCon e H2HC
- Idealizador do Universidade Livre, evento que leva o SL s
universidades brasileiras
- Autor do Mente Binria (http://www.mentebinaria.com.br)
- Criador do pev (analisador de arquivos PE)
- Criador do USBForce (antivrus para pen-drive)
- Mantenedor do T50 (ferramenta para stress em redes)
Agenda
- O que faz um analisador
- O executvel
- Estudo do formato
- pev
- Perguntas
O que faz um
analisador?
01010101
85
55
PUSH EBP
U
O executvel
Estudo do
formato
pev
the pe file analyzer
$ pev -c psftp.exe
COFF header:
Machine:
Number of sections:
Date/time stamp:
Symbol Table offset:
Number of symbols:
Size of optional header:
Characteristics:
RT_ICON
0x28
RT_GROUP_ICON
0x68
RT_VERSION
0x80
0.60.0.0
0x10b (PE32)
7
10
0x35000
0x1a000
0
0x2d812
0x1000
0x36000
TODO...
- Deteco de packers
- Disassembly de sees
- Formatao de sada (CSV, XML...)
- Extrao de resources
- Exibir imports e exports
- Deteco do compilador
- Deteco do idioma do binrio
- CRC32
- Deteco de strings inclusive XOReadas