Geçmişte gördüğüm 30'dan fazla yerleşik cihaz yazılımında, bunların tescilli herhangi bir şey kullandıklarını nadiren gördüm. Genellikle sadece gzip / LZMA veya kullandıkları benzer bir sıkıştırma (bazen değiştirilmiş veya çıkarılmış başlıklarla da olsa).

Bu nedenle, bilinen sıkıştırma algoritmalarını aramak için ilk adım olarak binwalk gibi bir şey deneyeceğim. Bu, Crypt Bul veya İşaretle arama gibi kripto sabitlerini bulmaya yarayan araçları denemeye yardımcı olmaz. Bu sadece kripto bir yazılım uygulamasıysa işe yarar. Donanım hızlandırmalı şifre çözme motoru ve anahtarı depolamak için OTP belleği olan daha karmaşık bir cihaz ise, bir set üstü kutusu diyelim, o zaman çalışma zamanı erişimi olmadan şansınız kalmaz (anahtarı büyük ölçüde bozmazlarsa) Şifre çözme motoruna OTP).

Son olarak, tescilli bir algoritma kullanıp kullanmadıklarını bulmayı deneyebilir ve bu algoritmayı QEMU veya gxemul kullanarak taklit edebilirsiniz. veya kendi açıcınızı daha yüksek seviyeli bir dilde yazın.

The Ida Pro Book 'da Chris Eagle, IDA veritabanı içinde yürütmeyi simüle ederek ikili dosyaları statik olarak açmak için kullanılabilen ida-x86emu adlı bir eklentinin kullanımını gösteriyor . Buna bir bak; açık kaynaklıdır ve kullanımı oldukça kolaydır.

birkaç olası yol:

1. paketleyiciyi tanımlayın

   • platformunuzun standart paketleyicilerini edinin (örneğin UPX ), kullanılıp kullanılmadığını kontrol edin.
   • Standart bir paketleyiciyse, belki de zaten kazandınız, belgelendiği gibi veya daha da iyisi, UPX gibi, ambalajından çıkabilir ve açık kaynak.

2. Algoritmayı tanımlayın

   • Pek çok iyi + yaygın paketleyici algoritması (NRV, LZMA, JCAlg, ApLib, BriefLZ). genellikle vücut boyutlarına veya sabitlerine göre kolayca tanımlanabilirler. ( Kabopan 'da birkaçını saf python ile uyguladım)
   • paketleme / şifreleme algoritmasını kolayca belirleyebilirseniz, muhtemelen statik paket açma için temiz bir uygulama bulabilirsiniz

3. ellerinizi kirletmek

   • algoritmayı hala bilmiyorsanız ve görünüşe göre gerçekten özel bir algoritma, sonra başka bir tane okuyun aynı platform için paketleyici (yani bir kez daha UPX Mips ikili dosyasını ve kaynağını okuyun), böylece sizi platformunuzda kullanılan benzer (paketleyici) hilelere alıştırabilir.
   • sonra olası sıkıştırma algoritmasını arayın (muhtemelen farklı görünen bir kod parçası, insanlar bunlarla çok nadiren uğraşıyor ve algoritmayı en sevdiğiniz dilde yeniden uyguluyor ve harici olarak paketini açıyor (parametreleri bulun, algoritmaları uygulayın, ikiliyi değiştirin / yeniden yapılandırın)

4. Bruteforce yöntemiyle tembel yöntem: ApLib gibi bazı algoritmaların herhangi bir başlığı veya parametresi (bir boyutu bile yok) yoktur: algoritma yalnızca bir compr tamponu esas aldığından, bazen ikilinizin herhangi bir ofsetinde körü körüne denemek ve düzgün bir sıkıştırılmış arabellek (çok küçük değil, çok büyük değil + 00'larla dolu) alıp almadığımızı kontrol etmek yeterlidir. / ol>

Genel cevabım, "paketlenmiş ikiliye karşı kendi kendini değiştiren işlemleri simüle ederek" olacaktır. Örneğin, bu, çoğu paketleyicinin gizlediği sıkıştırmanın kaldırılmasını kapsayacaktır. Bunu yapmak, paketleyicideki yürütme akışının "statik olarak izlenmesini" gerektirecektir; bu, kodu kendi kendine değiştirmeye tabi olabilir.

Bu açıklama, ikili paketin bölümlerinin yalnızca olduğu geleneksel bir paketleme stili için işe yarar. sıkıştırılmış / şifrelenmiş. Örneğin, "Sanallaştırma Gizleyicilerini Paketten Çıkarma" 1 makalemde açıklandığı gibi, daha sofistike paket açma stratejilerinin gerekli olduğu bir durum olabilir.