Quartz 4

conveciones de llamada

3 min read

no se puede en contrar _start es decir el main es de libc

conveciones de llamada

Relacionado: Herramientas. Forense de memoria de sistema completo. 12 Introduccion a la Criptografiaseguridad. 2025 02 20 Seguridad iOS memoria permisos y sandboxing. Sistema de Gestion de la Seguridad de la Informacion.

cdecl stdcall fastall

para acceder a los datos de la pila se utiliza direcciones relativa de la pila al principio la pila la base y el tope estan igual y se aceden En funcion del convecion quien limpia la pila

más parametros que se pasan pro el compilado se pueden pasar dos formas de enlazar, primero se crea el objeto y luego se linkea con otros objetos cuando se enlaza al vuelo es el sistema operativo es linkeado dinamico un linkeado stacio es meter dentro del rpograma todo el código que queremos disponer plgt linkeado io_pring se ha hecho todo el código en el programa, el malware suele tener enlace dinmico
stalles va trozo a troozo para que se puede actualizar y pueden actualizar o des actualizar el propio windows , la muestra puede cambiar lo importaant es saber reconocer estructuras como cuando se crea y se destruye una funcion

podemos ver el código con radare

bucle for: se puede saber por el tamaño de registro var 14 y var 20 en radare es bp 20 bp -14 los [var_24] coje la misma

vernam es el cifrador de xor ,lo utilizan para ofuscar código hay herramientas como lg

xor se utiliza normalmete para enfuscar IOC como una ip un dominio . con yara se puede encontrar key con xor con un byte más no .

x64debugger para hacer debug es mejor abrir con windows porque el tema de las librerias no las coge muy bien en determinados struct, capacidades de lectura diferente se utiliza de 32 bit por que se utiliza enteros

es la func que te devuelve un 0 wanacry no tiene main tiene una funcion llamada playgame sprinf print format establce una cadena de formato se carga los binarios librerias en formato hexadecimal los recursos

estatico avanzado inferir el comportatmiento

todo el programa está en la ram si quieres ver un rootkit porque está oculto

malfind busca codigo de maquina .

tenemos que usar un debuger

se puede parchear mientras se ejecuta en edit code y se puede puede ponder dos tipos de breack piint fisico cuando se acceda a esa direcion de memoria y cuando eip apunta a ese ip

en change comand line se ejecuta y se puede ejecutar con parametros

la otra opcion es el depurador abre el proceso y pincharse al en el x32 podemos engancharnaos al proceso y te puedes conectar directamente al proceso

para desempaquetar upx con flare

Graph View

Backlinks