Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Spasavanje source code-a, analiza biblioteka i monitor saobracaja
#1
Iako se neki od ovih alata i tehnika mogu koristiti za "oslobadjanje" raznih programa i sl. svrha ove teme nije to!
Svrha ove teme je pomoc u nevolji svima koje moze da zadesi ili je zadesilo nesto od ovoga:

-    Izgubljen source code svog projekta ili projekta u okviru firme ili nekih starih aplikacija ciji se source tokom raznih migracija i drugih nepogoda zagubio Smile
-    Analiza sumnjivih programa \ biblioteka.
-    Analiza mreznog saobracaja.

Ukoliko se radi o aplikaciji ili biblioteci koja je pisana pomocu .net tehnologije (C#), ovo je relativno lak posao za ovaj alat koji vredi imati pri ruci za vracanje u izvorni kod https://www.jetbrains.com/decompiler/ (ranije dok je .net reflektor bio free mogao je i on da posluzi, ali mi se cini da ovaj alat radi mnogo bolje). Veoma je intuitivan, i poprilicno uspesno moze da exportuje app nazad u VS projekat koji moze da se dalje menja, rekompajlira i sl.

Ako vam je potrebno da ispratite neki program, SysInternals ima poprilicno lepu kolekciju raznih alata (koje je otkupio MS), i npr. ako zelite da imate real time registry i file system monitor mozete da pogledate neku app kroz "process monitor", potrebno je naravno filtrirati content da bi se videli sta radi jedna app, inace ce da "hvata" i sve ostalo:
https://technet.microsoft.com/en-us/sysi...essmonitor

Nisam u potpunosti siguran kako radi, ali mislim da je neka vrsta File System Minifilter Driver-a (ako neko zna da ovo radi drugacije neka me ispravi), slicno kao sto rade i svi antivirusi, gde presrece sve akcije i loguje ih.

Ovde je link do cele kolekcije:
https://technet.microsoft.com/en-us/sysi...s/bb842062

Za programe pisane u drugim alatima (Delphi npr.) mozete da okusate svoju srecu sa OllyDbg-om ali ne ocekujte izvorni code nazad.
http://ollydbg.de/

DeDe takodje moze da posluzi ali samo do neke starije verzije i samo do nekle gde moze da izvuce i delphi related fajlove.
http://www.dede.com-about.com

Ukoliko zelite da vidite da li neka od aplikacija koju imate radi nesto sumnjivo tipa salje nesto u background-u ili sl. preporucujem da se poigrate sa ovim open source pocket analyzer-om po imenu WireShark.
https://www.wireshark.org

Takodje jedan od zanimljivih alata, doduse mnogo prostiji je fiddler (sada u vlasnistvu Telerika):
http://www.telerik.com/fiddler moze da posluzi veoma lepo za monitoring web aplikacija i http(s) saobracaja, generisanje raw http requesta i sl.
Reply
#2
Hvala, samo treba napomenuti da je za koriscenje vecine ovih alata potrebno prilicno tehnicko znanje i nisu za pocetnike. Predlazem da se ova tema razdvoji na tri pomenute oblasti pa da mozemo da diskutujemo.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#3
Od svih pobrojanih alata koristio sam jedino wireshark (pređašnji naziv mu je Ethereal) i mogu vam reći da je to odlično parče softvera. Snifovani saobraćaj na mreži možete filtrirati na svakakve načine i doći do onog što vas zanima. Filtriranje može ići po tipu protokola (UDP, RTP, DHCP, SIP...) a može se filtrirati i saobraćaj sa određenih mac ili ip adresa. Mogući su i filtri dobijeni kombinacijom više uslova. Sve ono što dobijete kao informacije po knjigama o TCP/IP možete i praktično videti analizirajući paket po paket filtriranog saobraćaja. Video sam i neke komercijalne alate ali mi je i ovaj besplatni sasvim dovoljan.
Reply
#4
(11-25-2016, 12:58 PM)1van Wrote: Hvala, samo treba napomenuti da je za koriscenje vecine ovih alata potrebno prilicno tehnicko znanje i nisu za pocetnike. Predlazem da se ova tema razdvoji na tri pomenute oblasti pa da mozemo da diskutujemo.

Slozio bih se delimicno. Npr. vecina ovih alata mislim da je dovoljno intuitivna ljudima koji se vec ionako bave softverom ili koji su malo vise u IT-u od obicnih korisnika. Naravno, ne znaci da ce svako biti ekspert u koriscenju ovih alata, ali ce se verovatno snaci da dovrsi ono sto mu treba uz malo truda.

Ali mozemo ih razdvojiti u celine i upotpuniti kao seriju mini tutorijala.
Reply
#5
Krenimo redom:

1. Analiza izvrsnih fajlova i dekompajliranje (eventualno vracanje u izvorni kod):

- https://www.jetbrains.com/decompiler/
- http://ollydbg.de/
- http://www.dede.com-about.com/

Dodao bih: Smali za Android Apk (http://tools.kali.org/reverse-engineering/smali) i neprikosnovena IDA: https://www.hex-rays.com/products/ida/index.shtml

2. Monitor saobracaja

- https://www.wireshark.org/
- http://www.telerik.com/fiddler

Dodao bih: Burp Suite https://portswigger.net/ i naravno tcpdump: http://www.tcpdump.org/manpages/tcpdump.1.html

3. Analiza systema (Procesi, Fajlovi, Registri, ...)

- https://technet.microsoft.com/en-us/sysi...s/bb842062
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#6
Da dodamo za stavku 3:

Cuckoo Sandbox is an advanced, extremely modular, and 100% open malware analysis system with infinite application opportunities. By default it is able to:

Analyze many different malicious files (executables, document expoits, Java applets) as well as malicious websites, in Windows, OS X, Linux, and Android virtualized environments.
Trace API calls and general behavior of the file.
Dump and analyze network traffic, even when encrypted.
Perform advanced memory analysis of the infected virtualized system with integrated support for Volatility.

https://www.cuckoosandbox.org/
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#7
Evo jos par zanimljivih i koristnih linkova:

Reverse Engineer OS X and iOS Software

Ovo me je takodje odavno zanimalo. Naime jos pre jedno 10tak i vise godina, kao temu za maturski rad uzeo sam bio tad "Pravljenje aplikacije za Tweaking WinXP-a", u sustini bila prosta app radjena u Delphi-u u to vreme ali sa fensi skinovima koje smo sa ekipom sa ES-a cackali, ali eto cisto poredjenja radi sta radi jedna druga app slicne namene i kojim win registrima pristupa i sl. ja propustio istu kroz OllyDbg u to vreme i dobio poruku od debugera da je detektovan i bukvalno app mi je tad gasila OllyDbg i sl. alate i to me odusevilo tad kao vid zastite.

No, evo kako to radi u sekciji anti-debug method introduction ovde:
Anti Reverse Engineering Protection Techniques

Anti-Debug Time Plugin for OllyDbg

Takodje, evo jos jedan link sa zanimljivim alatima od kojih bi izdvojio API Monitor.

How to Reverse Engineer Software (Windows) in a Right Way
Reply


Forum Jump:


Users browsing this thread: 5 Guest(s)