forked from ree-lecture/assignments
Update of exercises
Thomas Smits
parent
cd0ae6e843
commit
e0c7002951
Binary file not shown.
Binary file not shown.
Binary file not shown.
|
|
@ -0,0 +1,38 @@
|
||||||
|
# Assignment: Importe mit rabin2 untersuchen (payload_1b)
|
||||||
|
<!-- Points: 5 -->
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
In diesem Assignment geht es darum, Techniken kennenzulernen, die Autoren von Malware benutzen, um sich einer statischen Analyse zu entziehen. Hierzu werden wir erneut das `rabin2`-Tool aus dem Radare 2 Paket verwenden.
|
||||||
|
|
||||||
|
|
||||||
|
## Radare 2
|
||||||
|
|
||||||
|
Für diese Übung werden wir das Kommandozeilen-Reverse-Engineering-Werkzeug Radare 2 einsetzen. Sie finden Tipps zur Installation und Verwendung in der [Kurzanleitung](../help/radare2.md).
|
||||||
|
|
||||||
|
## Aufgabe
|
||||||
|
|
||||||
|
Das Werkzeug `rabin2` kann dazu verwendet werden, die importierten Funktionen und enthaltenen Strings einer Binärdatei zu untersuchen. Sie können zur Anzeige der Strings auch das `strings`-Kommando verwenden.
|
||||||
|
|
||||||
|
Nehmen Sie sich die folgende Datei vor und verwenden Sie `rabin2`, um sich die Importe (Option `-i`) und die enthaltenen Strings (Option `-z`) anzeigen zu lassen.
|
||||||
|
|
||||||
|
* [payload_1b](payload_1b)<!-- binary -->
|
||||||
|
|
||||||
|
|
||||||
|
## Hinweis
|
||||||
|
|
||||||
|
Bei dem Executable handelt es sich um ein Programm unbekannter Funktionalität, wie man sie z.B. bei der Untersuchung von kompromittierten Rechner finden könnte. Es kann gut sein, dass es sich um eine _Malware_ handelt, welche bei der Ausführung Schaden verursacht, bis hin zur Zerstörung aller Daten auf dem Rechner. Deswegen sollten Sie die Datei __auf keinen Fall__ ohne Schutzmaßnahmen (virtuelle Maschine etc.) __ausführen__. Die hier vorgenommene Analyse kommt ohne Ausführung der Datei aus und ist insofern sicher auch ohne Schutzmaßnahmen durchführbar.
|
||||||
|
|
||||||
|
Sie müssen in der Realität damit rechnen, dass die Malware Schwachstellen in den von Ihnen verwendeten Werkzeugen nutzt, um bei einem Reverse-Engineering Ihren Rechner anzugreifen. Da wir uns hier in einem Übungskontext befinden, ignorieren wir dieses Problem.
|
||||||
|
|
||||||
|
Die Liste der Funktionen, die importiert werden, ist recht kurz. Die Strings sind kryptisch und seltsam.
|
||||||
|
|
||||||
|
Diese Software verschleiert offensichtlich die Bibliotheksfunktionen, die sie benutzt. Können Sie dahinter kommen, wie hierbei vorgegangen wird und welche Funktionen verwendet werden?
|
||||||
|
|
||||||
|
## Abgabe
|
||||||
|
|
||||||
|
* Schreiben Sie auf, was Sie über die Datei herausgefunden haben.
|
||||||
|
* Geben Sie eine Einschätzung ab, ob es sich möglicherweise um eine Malware handelt.
|
||||||
|
* Welche Art von Malware könnte vorliegen? Was macht sie wahrscheinlich?
|
||||||
|
|
||||||
|
Die Abgabe erfolgt über das Repository, das Ihrem Team zugeordnet ist.
|
||||||
|
|
@ -19,6 +19,7 @@ Hinweise zur nötigen Softwareausstattung finden Sie [hier](help/software.md).
|
||||||
| 2. | 02.10.2024 | [Dateien mit `file` untersuchen (files.zip)](Assignment_002/readme.md) | | [✅](Assignment_002/solution/) |
|
| 2. | 02.10.2024 | [Dateien mit `file` untersuchen (files.zip)](Assignment_002/readme.md) | | [✅](Assignment_002/solution/) |
|
||||||
| 3. | 02.10.2024 | [Importe mit rabin2 untersuchen (payload_1)](Assignment_003/readme.md) | **08.10.2024** | |
|
| 3. | 02.10.2024 | [Importe mit rabin2 untersuchen (payload_1)](Assignment_003/readme.md) | **08.10.2024** | |
|
||||||
| 4. | 02.10.2024 | [Exports und Imports mit rabin2 untersuchen (payload_2.so)](Assignment_004/readme.md) | **08.10.2024** | |
|
| 4. | 02.10.2024 | [Exports und Imports mit rabin2 untersuchen (payload_2.so)](Assignment_004/readme.md) | **08.10.2024** | |
|
||||||
|
| 5. | 09.10.2024 | [Importe mit rabin2 untersuchen (payload_1b)](Assignment_005/readme.md) | | |
|
||||||
|
|
||||||
## 🎓 Benotung
|
## 🎓 Benotung
|
||||||
|
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue