7/26/2019 Introducción y Herramientas de Ingeniería Inversa

http://slidepdf.com/reader/full/introduccion-y-herramientas-de-ingenieria-inversa 1/7

Tienda Wifi

CiudadWireless es la tienda Wifi

recomendada por elhacker.NET

Buscador 

Buscar

Entradas Mensuales

► 2016 (Total: 130 )

▼ 2015 (Total: 445 )

► diciembre (Total: 33 )

► noviembre (Total: 43 )

► octubre (Total: 35 )

► septiembre (Total: 47 )

► agosto (Total: 25 )

► julio (Total: 40 )

► junio (Total: 73 )

► mayo (Total: 35 )

► abril (Total: 28 )

► marzo (Total: 16 )

▼ febrero (Total: 19 )

 El FBI ofrece 3 millones de

dólares de recompensa ... El cibercriminal másbuscado por el FBI esarresta...

 El popular sitio de vídeosporno RedTube

infectado...

 Disponible oclHashcatv1.33, ahora tambiéncrackea...

 Pwn2Own 2015: Gana75.000$ encontrando unBug en G...

 De Windows XP a Windows10 vulnerables cambiando

u...

 Facebook lanza

ThreatExchange, unaplataforma que ...

 Google Project Zero revela0day en Adobe Reader pa...

 Facebook soluciona gravevulnerabilidad que

permit...

 Tutorial básicofuncionamiento y primerospasos Wi...

 Laboratorio Virtualizado deSeguridad en Kali Linu...

 Disponible Kali Linux –versión 1.1.0

 Introducción yHerramientas de Ingeniería

Inversa Introducción al Análisis

forense de Malware

 Desproteger y desbloquear un archivo PDF

 Estudio de Akamai sobreun ataque DDoS de LizardS...

 Introducción y Herramientas de Ingeniería Inversa jueves, 5 de febrero de 2015 | Publicado por el-brujo

 

Primeros pasos en el mundo de la ingeniería inversa. Es un "arte" complejo, considerado por muchos como avanzado, querequiere muchísimas horas de práctica y estudio. Definiciones, conceptos y herramientas como OllyDbg, Radare, ImmunityDebugger, Ida Pro o GNU Debugger (GDB).

Ingeniería Inversa

Definición por pancake aka trufae

La ingeniería inversa sirve para obtener información de un producto, cómo ha sido construido o cómo funciona por dentro.

El objetivo de la ingeniería inversa es obtener información o un diseño a partir de un producto accesible al público, con el fin dedeterminar de qué está hecho, qué  lo hace funcionar y cómo fue fabr icado. Hoy en día los productos más comúnmentesometidos a ingeniería inversa son los programas.

Sirve para:

Clasificar Malware

Liberar drivers/hardware

 Analizar vulnerabilidades

Hacker crackmes/ctf (Capture the Flag)

Contailidad con software

Espionaje industrial

¿Qué tipos de ejecutables existen? ¿Todos se depuran de la misma forma?

¿Por qué los ejecutables tienen un encabezado? ¿Qué información hay en ese encabezado (header en inglés)?

¿Cómo se analiza un virus y qué modifica?

¿Cómo se modifica un programa?

¿Cómo puedo depurar mi programa para buscar errores?

Una vez que he aprendido a depurar, ¿cómo puedo mejorar la protección de mi software?

Del Código Máquina al Lenguaje Ensamblador 

Cuando nos encontramos frente a una variante de algún código malicioso en un sistema y nos disponemos a analizarlo tenemosel archivo binario y debemos utilizar un desensamblador para generar el código en assembler con el objetivo de analizarlo.Ensamblador (assembler ) es en realidad una clase de lenguaje de programación. Cada variante de ensamblador corresponde auna familia particular de microprocesadores tales como x86, x64, SPARC, PowerPC, MIPS o ARM. Dentro de todas estas

familias la más habitual dentro las arquitecturas de procesadores es la x86, aunque con el pasar de los años vemos más y másprocesadores x64.

Data: La sección de datos de un programa hace referencia a una región específica de memoria. Contiene lo que seconoce como las variables estáticas que no cambian con la ejecución del programa. También en esta sección seencuentran las variables globales, que están disponibles desde cualquier parte del programa.

Code: En esta región de memoria se almacena el código que se ejecuta del programa donde se alojan todas lasinstrucciones que se van a ejecutar.

Heap: El heap es una región de memoria que se utiliza para alocar nuevos valores durante la ejecución del programacomo así también para eliminarlos una vez que se dejaron de utilizar. El heap es una memoría dinámica y su contenidovaría a medida que se ejecuta el programa

Stack (Pila): La pila se utiliza para alojar las variables locales, parámetros y valores de retorno de una función como asítambién contiene las direcciones de retorno entre una llamada a una función y otra, siendo muy útil para controlar el flujode ejecución del programa.

Cualquier software se ejecuta de forma secuencial, es decir una instrucción detrás de otra, la siguiente instrucción a ejecutar se

Blog Web Foro Labs WarZone Wiki RSS

7/26/2019 Introducción y Herramientas de Ingeniería Inversa

http://slidepdf.com/reader/full/introduccion-y-herramientas-de-ingenieria-inversa 2/7

 DNS Hijack en router ADSLde D-Link

 Tercera vulnerabilidad 0-day crítica de Adobe Flas...

 Lanzamiento sopresa deRaspberry Pi 2 por 35

dólar...

► enero (Total: 51 )

► 2014 (Total: 186 )

► 2013 (Total: 100 )

► 2012 (Total: 8 )

► 2011 (Total: 7 )

► 2010 (Total: 15 )

Suscripción

¿Quieres recibir las últimasnovedades del blog en tu correo?

¡Suscríbete al feed!

 Ingresar email aquí   OK 

Foro de elhacker.net - Noticias

Blogroll

BlackPloit

D'Oh!

Driverlandia

El blog del Maligno

SecurityByDefault

Tienda Wifi

Un Tal 4n0nym0us En El PC

WHK Security

aodbc

karmany.net

IntecoLa Mirada del Replicante

Flu Project

Security At Work

We Live Security en Español

Blog Segu-Info

 AlfaExploit

HackPlayers

TheHackerWay

CyberHades

La9deAnon

Redes Zone

Snifer@L4b's

Etiquetas

noticias( 3 9 0 ) seguridad( 1 9 1 ) software

( 152 ) privacidad ( 88 ) android( 8 6 ) tutorial ( 7 9 ) google( 7 4 ) Windows ( 7 1 ) linux( 66 ) Malware ( 64 ) hardware( 6 3 ) manual( 62 ) vulnerabilidad ( 43 ) hacking( 41 ) ddos ( 36 ) sysadmin ( 35 ) Wifi

( 3 4 ) herramientas ( 3 0 ) eventos( 2 8 ) ransomware ( 2 8 ) cifrado( 26 ) cve ( 21 ) flash ( 2 1 ) adobe( 2 0 ) WhatsApp ( 1 9 ) app( 1 9 ) o f f i ce ( 1 6 ) antivirus( 1 5 ) contraseñas ( 1 5 ) nvidia

( 1 5 ) programación( 15 ) SeguridadWireless ( 14 )

almacena en un registro llamado IP, mediante programación se puede desviar esa ejecución hacia funciones que realicen tareasconcretas, el programa en un principio ejecutará el flujo normal hasta que llega a una llamada a una función, en ese momentoguarda en RAM el registro IP, ejecuta la función y retorna al flujo principal del programa porque fué capaz de leer el valor 

almacenado en RAM del registro IP.

 Registros

Un registro es, de forma simplificada, un pequeño almacén en la CPU y es, evidentemente, la forma más rápida que tiene laCPU de acceder a datos. En la arquitectura x86 de Intel existen ocho registros depropósito general: EAX, EDX, ECX, ESI, EDI,EBP, ESP y EBX (cambiar E por R en arquitecturas de 64 bits).

Son utilizados para facilitar la tarea en el procesado de las instrucciones, cómo para almacenar datos que se utilizaran

posteriormente por las mismas.

El registro EAX (RAX)

El registro EDX (RDX)

El registro ECX (RCX)

Los registros ESI (XSI) y EDI (RDI)

Los registros ESP (RSP) y EBP (RBP)

El registro EBX (RBX)

Registro especial EIP (RIP)

 Estos son alguno de los registros básicos que existen:

- EAX (Accumulator register): Utilizado tanto para realizar cálculos, cómo para el almacenamiento de valores de retornoen "calls".

- EDX (Data register): Extensión de EAX, utilizada para el almacenamiento de datos en cálculos más complejos.

- ECX (Count register): Utilizado en funciones que necesiten de contadores, como por ejemplo bucles.

- EBX (Base register): Se suele utilizar para apuntar a datos situados en la memoria.

- ESI (Source index): Utilizado para la lectura de datos.- EDI (Destination index): Utilizado para la escritura de datos.

- ESP (Stack pointer): Apunta a la cima de la pila “stack”.

- EBP (Base pointer: Apunta a la base de la pila “stack”.

Instrucciones

Son acciones predefinidas en el lenguaje ensamblador. Algunas de las más habituales de ver son:

- PUSH: Guarda el valor en la pila.

- POP: Recupera valor de la pila.

- MOV (dst, src): Copia el operador “src” en el operador “dst”.

- LEA (reg, src): Copia una dirección de memoria en el registro destino (ej: EAX).

- ADD (o1, o2): Suma los dos operadores y los almacena en el operador uno.

- SUB (o1, o2): Resta el valor del segundo operador sobre el primero y lo almacena en el primer operador.

- INC: Incrementa en 1 el valor del operador indicado.

- DEC: Decrementa en 1 el valor del operador indicado.

- AND: El resultado es 1 si los dos operadores son iguales, y 0 en cualquier otro caso.

- OR: El resultado es 1 si uno o los dos operadores es 1, y 0 en cualquier otro caso.

- CMP: Compara dos operadores.

- JMP Salta a la dirección indicada.

- CALL: Llama/Salta a la dirección/función indicada.

- NOP: Not Operation.

Estructura de la pila (Stack)

La pila es una estructura FILO (First In, Last Out) donde los argumentos son apilados en la cima de la misma cuando se invocauna función y retirados cuando la función finaliza. El registro ESP se usa para seguir la pista a la parte más alta del marco de lapila y el registro EBP para seguirle la pista a la parte baja (aunque ya vimos que ciertos compiladorespueden decidir   no usar ebp para eso).

La PILA o Stack es un conjunto de direcciones de memoria encargadas de almacena información de llamadas a funciones,variables locales, direcciones de retorno a funciones anteriores, entre otras tareas. La PILA es dinámica, por lo que va

cambiando su tamaño dependiendo de la función a la cual se encuentre asociada, dispone de una estructura “First In, Last Out”,por lo que lo último que entra será lo primero en salir, delimitada siempre por su cima (ESP) y por su base (EBP).

Puntos de Interrupción (Breakpoints)

La habilidad de parar un proceso que está siendo depurado se consigue mediante el fijado de puntos de interrupción  obreakpoints. Al parar el proceso podemos inspeccionar el valor de las variables, los argumentos de la pila, y las direcciones dememoria sin que el proceso modifique estos valores hasta que no se lo indicas de esa forma al depurador.

Exploiting sobre Linux-x86

La porción de RAM utilizada por un programa cuando se llama a una función es comunmente llamada pila o stack, debemostener en cuenta que la pila crece de arriba a abajo, como podemos ver hay una parte de la ram que almacena la copia delregistro IP(EIP) en el momento de realizar la llamada a la función, en el programa no se tiene en cuenta que el dato introducidosea de una longitud concreta, se realiza la copia a ciegas a la variable nombre, aprovechando este descuido podemos hacer crecer la variable nombre hasta llegar a ocupar la dirección de retorno EIP haciendo así que el software termine retornando a

otra posición de memoria y no la que se guardó al realizar la llamada a la función func.

¿Qué es una Shellcode?

7/26/2019 Introducción y Herramientas de Ingeniería Inversa

http://slidepdf.com/reader/full/introduccion-y-herramientas-de-ingenieria-inversa 3/7

 Entradas populares

Diferencias entre UEFI vsBIOS (y MBR vs GPT)

La BIOS está siendoreemplazada por UEFI(EFI), mucho más

amigable y gráficamentesuperior.¿Tendré problemas parainstalar Windows y Linux...

Tutorial TestDisk pararecuperar particionesdañadas

TestDisk es una utilidadmultiplataforma para larecuperación de datos

desarrollado principalmente para ayudar a recuperar datos perdidos e...

Hackeada la base dedatos del Banco Nacionalde Qatar 

Entre los datos filtradoshay informaciónrelacionada con agentes

del MI6, miembros de la familia realqatarí y del gabinete del gobierno. L...

elhacker.NET en Facebook

Be the first of your friends to

like this

elhacker.net4,377 likes

Like PageLike Page ShareShare

Una shellcode no es mas que el conjunto de opcodes(instrucciones en hexadecimal) que ejecutará el procesador para realizar un acción en concreto, las shellcodes suelen estar escritas en ensamblador ya que nos permite un control total sobre el proceso

de ejecución además de un tamaño inferior de la shellcode.

Stack Buffer Overflow

In software, a stack buffer overflow occurs when a program writes to a memory address on

the program's call stack outside of the intended data structure; usually a fixed length buffer.

Es decir, la vulnerabilidad Stack Buffer Overflow ocurre cuando una aplicación no controla correctamente el número de bytesque son almacenados en una dirección de memoria previamente reservada, de forma que la cantidad de bytes que se van aalmacenar son superiores a los reservados.

Nuestro principal objetivo es llegar a sobrescribir la dirección de retorno (almacenada en la PILA) con un valor que apunte anuestra shellcode.

Registro EIP (Extended Instruction Pointer): Este registro apunta a la siguiente dirección de memoria que el procesador va a ejecutar.

Instrucción RETN: Es la instrucción encargada de recoger el valor de ESP y almacenarlo en el registro EIP, de estemodo el valor de ESP será la próxima dirección de memoria que elprocesador va a ejecutar.

Dirección de retorno: Es el valor exacto que nos indica la dirección de memoria donde habíamos dejado la aplicaciónante de entrar en una subfunción, para así cuando esta termine volver a la posición exacta donde nos quedamos. Estevalor se encontrará almacenado en la siguiente dirección de memoria del EBP de la subfunción

Debuggers - Dissamblers - Depurador 

Immunity Debugger 

Immunity Debugger  is a powerful new way to write exploits, analyze malware, and reverse engineer binary files. It builds on asolid user interface with function graphing, the industry’s first heap analysis tool built specifically for heap creation, and a largeand well supported Python API for easy extensibility.

OllyDbg 

OllyDbg, creado por Oleh Yuschuk, es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador,volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visiónde cabecera PE, edición hexadecimal.

OllyDbg es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pilay registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, ediciónhexadecimal, y plug-in de soporte.

En la primera puesta en marcha, OllyDbg pide configurar el directorio de datos del usuario (UDD) y el directorio de plug-ins. UDDse utiliza para guardar información específica de la aplicación como puntos de interrupción. Ofrece amplias opciones dedepuración como la configuración de breakpoints en la carga de nuevos módulos, la creación de threads, la forma de procesar las excepciones, etc. OllyDbg soporta el establecimiento de puntos de interrupción de hardware, puntos de interrupción desoftware, puntos de interrupción de memoria e incluso puntos de interrupción condicionales.

GNU Debugger (GDB)

7/26/2019 Introducción y Herramientas de Ingeniería Inversa

http://slidepdf.com/reader/full/introduccion-y-herramientas-de-ingenieria-inversa 4/7

GDB o GNU Debugger es el depurador estándar para el sistema operativo GNU. Es un depurador portable que se puede utilizar en varias plataformas Unix y funciona para varios lenguajes de programación como C, C++ y Fortran. GDB fue escrito por Richard Stallman en 1988. GDB es software libre distribuido bajo la licencia GPL.

IDA Pro

 Al igual que OllyDbg, IDA Pro es un depurador / desensamblador a nivel de aplicación que nos ayudará enormemente en seguir la pista de la ejecución del programa. Cuenta con una versión de demo y una versión freeware más antigua, que es gratuita solopara uso no comercial.

Radare (radare2, r2)

RA-DA-RE significa RAw DAta REcovery. Empezó como un programa para recuperar ficheros del disco duro y poco a poco sefueron añadiendo funcionalidades para que pudiera desensamblar y depurar. Radaré nació como una herramienta editor hexadecimal, debugger, assembler/disassembler, bajo la línea de comandos. Radare2 fue re-escrito de nuevo y poco a poco haido alcanzando el nivel del radare original.

Una de las principales solicitudes de r2 ha sido siempre una interfaz gráfica de usuario (GUI)Radare2 ahora tiene una interfazweb que debe sentir familiar a los usuarios de desensambladores comerciales. El API r2pipe también se puede utilizar desdePython, NodeJS o navegadores web, y ofrece una potente interfaz para automatizar tareas o interactuar con el núcleo radare2.

radare - RAw DAta REcovery

Posteriormente se ha convertido en una suite de herramientas que te dan una shell completa para la ingeniería inversa y queesta formada por varias utilidades:

 

7/26/2019 Introducción y Herramientas de Ingeniería Inversa

http://slidepdf.com/reader/full/introduccion-y-herramientas-de-ingenieria-inversa 5/7

radare editor hexadecimal en linea de comando con varios plugins que le permite ampliar sus posibilidades.

rabin obtiene información de archivos ELF / MZ / PE / CLASS archivos

radiff  ofrece diferentes funcionalidades para comparar binarios.rasc generador de shellcodes.

rasm ensamblador y desensamblador en linea de comando.

xrefs encuentra referencias cruzadas en archivos raw en, ppc, arm y x86.

rahash calcula algoritmos de encriptación en archivo, bloque de datos e incluso en flujo dedatos.

rsc es el lenguaje de script de radare.

 javasm minimalista ensamblador / desensamblador / classdumper de java.

armasm minimalista ensamblador de arm.

rax convierte números en diferentes bases.

Radare2 (r2)

 Actualmente radare2 es un framework para la ingeniería inversa y el análisis de binarios.

r2 es una reescritura desde cero de radare el fin de proporcionar un conjunto de bibliotecas y herramientas para trabajar conarchivos binarios. Proporciona un marco con un conjunto de bibliotecas y programas para trabajar con datos binarios.

El poryecto Radare comenzó como una herramienta forense, un editor hexadecimal en línea de comandos capaz de abr ir archivos de disco, para después permitir analizar los binarios, desmontaje código, depuración de programas, conectarse aservidores remotos gdb, ..

radare2 es portable y soporta los tipos de ficheros tipo bios, dex, elf, elf64, filesystem, java, fatmach0, mach0, mach0-64, MZ,PE, PE+, TE, COFF, plan9, bios, dyldcache, Gameboy y Nintendo DS ROMs

radare2: Editor hexadecimal y debugger 

rabin2: Extractor de info de los ejecutables binarios

rasm2: Ensamblador, desensamblador desde la CLI

rahash2: Generador de hashes

radiff2: Utilidad para buscar diferencias utilizando varios algoritmos

rafind2: Buscador de patrones en un fichero

ragg2: Compilador de binarios

rarun2: Nos permite correr el programa en diferentes entornos, variables de entorno, argumentos, directorios...

Radare también dispone de una interfaz gráfica basada en viz.js.

Desde el 2014 cuenta con una nueva interfaz web (GUI) que corre sobre un servidor web:

$ r2 -c=H /bin/ls

7/26/2019 Introducción y Herramientas de Ingeniería Inversa

http://slidepdf.com/reader/full/introduccion-y-herramientas-de-ingenieria-inversa 6/7

0 comentarios :

PUBLICAR UN COMENTARIO EN LA ENTRADA

O el Visual mode (v)

 p

hex, the hexadecimal view

disasm, the disassembly listing

debug, the debugger 

words, the word-hexidecimal view

buf, the C-formatted buffer 

annotated, the annotated hexdump.

También existen dos GUI para radare que son:

BokkenRagui

Fuentes:http://www.alfaexploit.com/ficheros_web/leer.php?id=168http://www.karmany.net/ingenieria-inversa/19-ingenieria-inversa-novatos/300-como-crackear-mi-primer-programa-legalmente-parte-ihttp://www.genbetadev.com/cc/como-funciona-un-depurador-de-c-c-parte-ihttp://www.unlearningsecurity.com/2012/04/documento-explotacion-de.html

 Etiquetas: análisis , assembler , Debugger , herramientas , ida , ingeniería inversa , Malware , ollydbg , r2 , radare , radare2 , reversing

, shellcode , tutorialEnlaces a esta entrada

  +5 Recommend this on Google

7/26/2019 Introducción y Herramientas de Ingeniería Inversa

http://slidepdf.com/reader/full/introduccion-y-herramientas-de-ingenieria-inversa 7/7

Entrada más reciente Entrada antiguaPágina principal

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:- Comentario acorde al contenido del post.- Prohibido mensajes de tipo SPAM.- Evite incluir links innecesarios en su comentario.- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.

Introduce tu comentario...

Comentar como:  Seleccionar perfi

Publicar  

Vista previa

Copyleft © 2010-16. Blog de elhacker.NET. Algunos derechos reservados.Usamos Cookies propias y de terceros. Consulta el  Aviso Legal para más información.

Los contenidos de este blog están sujetos a una licencia Creative Commons a menos que se indique lo contrario.