Soru:
Çalıştırılabilir dosyalarda sıkıştırma algoritmalarını tanımlamak için herhangi bir araç veya komut dosyası var mı?
Polynomial
2013-04-02 03:49:20 UTC
view on stackexchange narkive permalink

Kodda ortak şifreleri ve karma algoritmaları tanımlamak için araçlar olduğunu biliyorum, ancak gzip, deflate vb. gibi yaygın sıkıştırma algoritmaları için benzer komut dosyaları / araçlar / eklentiler var mı? Öncelikle x86 ve Windows'u hedefliyordu, ancak diğer platformlar için yanıtlar da memnuniyetle karşılanmaktadır.

Veriyi değil kodu bulmaya çalıştığımı unutmayın.

Pek çok sıkıştırma / açma aracının buna sahip olmasına şaşırmam çünkü 7zip, uzantıdan bağımsız olarak bir şeyleri çoğu zaman açabilir. Mümkün olsa da, meta verilere güveniyor.
7zip gibi araçlar, SFX ikili dosyalarını algılamak için çalıştırılabilir dosya içindeki meta verilere güvenir, ancak sezgisel tarama kullanıyor olsa bile sıkıştırma algoritmasını değil, sıkıştırılmış verileri arıyor olacaktır. Yaygın sıkıştırma algoritmaları için kodun adresini tespit etmenin yollarını arıyorum.
1 / Bunu yapan herhangi bir araç bilmiyorum 2 / C kodunu veya optimize edilmiş ASM kodunu eşleştirmek isteyip istemediğinize gerçekten bağlı: derlenmiş kodu eşleştirmek istiyorsanız, belirli bir veri için FLIRT benzeri bir imzaya sahip olmak daha iyi olacaktır. fonksiyonlar. El ile optimize edilmiş ASM'yi (insanların kopyalarken / yapıştırırken nadiren değiştirdikleri bir şey) eşleştirmek için, ya tüm bloğu eşleştirin ya da en azından belirli sabitlere ([örnek] (https://code.google.com/p/kabopan /source/browse/trunk/kbp/comp/aplib.py#14))
üç yanıtlar:
#1
+23
Igor Skochinsky
2013-04-02 08:24:29 UTC
view on stackexchange narkive permalink

signsrch Luigi Auriemma'nın ortak sıkıştırma kitaplıklarında (zlib vb.) kullanılan tablolar için imzaları vardır.

enter image description here

ImmDbg ve IDA için eklenti olarak taşındı.

O ayrıca bir ikili dosyadaki sıkıştırılmış akışları belirlemeye ve paketten çıkarmaya çalışan offzip aracına da sahiptir.

Bu araç harika. Çapraz platform gibi görünüyor. Tatlı!
#2
+9
mrduclaw
2013-04-02 06:43:53 UTC
view on stackexchange narkive permalink

Büyük bir binwalk hayranıyım, ancak ne yazık ki Windows'ta size pek yardımcı olmuyor.

yayın notları şöyle diyor: "Sürüm 1.0, Python'da tamamen yeniden yazılmıştır ve yeni özellikler ve komut dosyası yazılabilir bir Python modülü içerir" t.
#3
+2
til
2013-04-02 13:19:44 UTC
view on stackexchange narkive permalink

Bir ikili programda deflate veya gzip kullanılıyorsa (deflate kullanır), kod genellikle bir kitaplık olarak bağlanır ve bu nedenle dize yapılarına göre kolayca tespit edilir. Bu kesinlikle otomatikleştirilebilir, örneğin ilgili dizeleri kolayca arayabilirsiniz. İşlevleri kaynak koduyla manuel olarak eşleştirmek biraz sıkıcı bir süreçtir, ancak genellikle iyi çalışır. İşlem, daha az yaygın olan algoritmalar için veya herhangi bir yapınız olmadığında çok daha zordur. Bu durumda, algoritmayı anlambilimine göre tanımlamanız gerekir (kelime boyutu, sabitler, veri yapıları gibi şeyler ipuçları sağlayabilir).

Daha önce belirtilen FLIRT imzalarına ek olarak: IDA Pro'yu Hex-Rays eklentisi ve şanslısınız, http://crowd.re adresinde bir algoritma bulmanız mümkün olabilir. Sıkıştırma algoritmaları için birkaç ek açıklama vardır. Bunun dışında, istediğinizi yapan herhangi bir araç veya komut dosyasının farkında değilim.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...