Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Construindo Umanalisador Deexecutáveis

    Enviado por

    Denys Alexandre
    6 visualizações20 páginas
    Analise de Malware

    Título original

    CONSTRUINDO UMANALISADOR DEEXECUTÁVEIS

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Analise de Malware

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    6 visualizações20 páginas

    Construindo Umanalisador Deexecutáveis

    Enviado por

    Denys Alexandre
    Analise de Malware

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 20

    CONSTRUINDO UM

    ANALISADOR DE
    EXECUTVEIS
    Fernando Mercs
    Vale Security Conference 2011
    So Jos dos Campos - SP
    $ whoami

    - Consultor de projetos com software livre na 4Linux


    - Bacharelando em Cincia da Computao
    - Foco em infraestrutura e segurana da aplicaes
    - Membro ativo de diversas comunidades de software livre
    - A+, LPIC-2, MCP, MCITP
    - Palestrante em eventos como FISL, LinuxCon e H2HC
    - Idealizador do Universidade Livre, evento que leva o SL s
    universidades brasileiras
    - Autor do Mente Binria (http://www.mentebinaria.com.br)
    - Criador do pev (analisador de arquivos PE)
    - Criador do USBForce (antivrus para pen-drive)
    - Mantenedor do T50 (ferramenta para stress em redes)
    Agenda

    - O que faz um analisador


    - O executvel
    - Estudo do formato
    - pev
    - Perguntas
    O que faz um
    analisador?
    Interpreta o formato do executvel para
    exibir informaes do tipo:

    - Entrypoint (incio do programa)


    - Arquitetura alvo / tipo do executvel
    - Requisitos para execuo
    - Sees
    - Protees
    - E qualquer outra informao til para
    quem analisa
    Como todo arquivo, no passa de uma
    sequncia de bits. A diferena est em
    como interpretamos:

    Binrio 01010101
    Decimal 85
    Hexa 55
    ASM x86 PUSH EBP
    ASCII U
    O executvel
    - Alm do cdigo, contm informaes
    para ser devidamente executado no SO
    alvo.

    - Pode ser editado como qualquer outro

    - Possui um formato / especificao

    - Documentao do formato disponvel na


    internet. Mais usados so ELF e PE.
    Estudo do
    formato
    - Busca da disposio dos campos no
    executvel.

    - Digamos que a documentao


    especifique:

    -> Um arquivo PE vlido comea com


    um campo de dois bytes chamado magic
    number, onde o primeiro byte o 0x4D e o
    segundo o 0x5A, sempre.
    Ento basta validar:
    int verify(char *filename)
    {
    FILE *fp = fopen(filename, "rb");
    char bytes[2];
    fread(bytes, 2, 1, fp);
    fclose(fp);
    if (bytes[0]=='M' && bytes[1]=='Z')
    return 1;
    return 0;
    }
    -> 16 bytes a frente da assinatura PE, est
    o checksum, que tem 2 bytes de tamanho.
    unsigned short checksum;

    fseek(fp, 16, SEEK_CUR);


    fread(&checksum, 2, 1, fp);
    printf("%x\n", checksum);
    - Para facilitar, bem possvel que o SO
    tenha estruturas j prontas para leitura do
    formato.
    /* COFF header (trecho da windows.h) */
    typedef struct _IMAGE_FILE_HEADER {
    WORD Machine;
    WORD NumberOfSections;
    DWORD TimeDateStamp;
    DWORD PointerToSymbolTable;
    DWORD NumberOfSymbols;
    WORD SizeOfOptionalHeader;
    WORD Characteristics;
    } IMAGE_FILE_HEADER;
    - Depois de ler as estruturas, o analisador
    deve dar opo de mostrar os valores dos
    campos para o usurio.

    - possvel detectar protees como


    packers, crypters etc.

    - Existe muita informao dentro de um


    binrio executvel. Tudo o que o
    analisador precisa fazer interpretar os
    bytes brutos (raw).
    pev
    the pe file analyzer
    - Software livre (GPLv3)

    - Multiplataforma (ANSI C)

    - Suporte a PE32/PE32+

    - Imprime todos os cabealhos do PE

    - Detecta TLS callback, ASLR e DEP/NX

    - Exibe resources no primeiro nvel


    $ pev -c psftp.exe
    COFF header:
    Machine: 0x14c - Intel 386 and compatible (32-bits)
    Number of sections: 4
    Date/time stamp: 1177846971 (Sun, 29 Apr 2007 11:42:51 UTC)
    Symbol Table offset: 0
    Number of symbols: 0
    Size of optional header: 0xe0
    Characteristics: 0x10f (0000000100001111)
    base relocations stripped
    executable image
    line numbers removed (deprecated)
    local symbols removed (deprecated)
    32-bit machine
    $ pev -rp psftp.exe
    Resources (.rsrc section):
    Type: RT_ICON
    Offset: 0x28
    Type: RT_GROUP_ICON
    Offset: 0x68
    Type: RT_VERSION
    Offset: 0x80
    Product Version: 0.60.0.0

    $ pev -o psftp.exe | head


    Optional (PE) header:
    Magic number: 0x10b (PE32)
    Linker major version: 7
    Linker minor version: 10
    Size of .code section: 0x35000
    Size of .data section: 0x1a000
    Size of .bss section: 0
    Entry point: 0x2d812
    Address of .code section: 0x1000
    Address of .data section: 0x36000
    TODO...

    - Deteco de packers
    - Disassembly de sees
    - Formatao de sada (CSV, XML...)
    - Extrao de resources
    - Exibir imports e exports
    - Deteco do compilador
    - Deteco do idioma do binrio
    - CRC32
    - Deteco de strings inclusive XOReadas
    Contedo: Fernando Mercs (CC 3.0)
    baseado no paper "Construindo um
    analisador de executveis".

    Template: Frank Skibby Jensen

    http://pev.sf.net
    @MenteBinaria
    www.mentebinaria.com.br

    Perguntas?

    Você também pode gostar