Engenharia Reversa de

Trojan-BankerRonaldo P. Lima

www.crimesciberneticos.com

agenda

introduçãoengenharia reversa de malwareproteções e ofuscação de códigoferramentasetapas da engenharia reversaestudo de caso / demonstração

introdução

porque analisar manualmente

um trojan?incidentes internosdados sigilososdescoberta de novas ameaças e

técnicascriação de novas assinaturas

para apps de segurança

engenharia reversa de malware análise estática reverter o processo do compilador entender o funcionamento do

malware conhecimentos desejados:

programação, API windows,

memória, formato PE, (dis)assembly,

curiosidade para começar basta saber usar as

ferramentas certas

proteções e ofuscação de código

packers ofuscação de código e compressão de dados

cryptors ofuscação de código

binders anexa a outro arquivo

funções internas strings e informações relevantes (decrypt em

runtime)

ferramentas

máquina virtual

Virtual Box

VMware

identificadores

PEiD

exeinfoPE

RDG

file, TrID

unpackers

lammer info

busca no

google

manual

disassemblers e

debuggers

IDA

OllyDbg

Imm Debugg

er

WinDbg

descompiladores

DeDe (delphi

)VB

Decompiler

showmycode.com (Java, Flash,

PHP, .NET)

etapas da engenharia reversa1. identificar o arquivo e proteções

PEiD, exeinfoPE , RDG, file, TrID

2. retirar proteções

unpackers, manualmente

3. disassembly do código (IDA, OllyDbg)

4. buscar strings relevantes

5. descriptografar strings (OllyDbg)

6. no IDA ir atualizando com as descobertas

7. tentar descompilar (DeDe e VB Decompiler)

estudo de casovídeo de demonstração

Assista em:

http://www.youtube.com/watch?v=S8FSuKWmIYY

obrigado!

Perguntas?

Ronaldo P. Limacrimesciberneticos@ymail.comcrimesciberneticos.com@crimescibernet