2210943
/
assignments
forked from ree-lecture/assignments
0
0
Fork 0
Code Pull Requests Activity

Update of exercises

master
Thomas Smits 2024-10-09 13:21:07 +02:00
parent cd0ae6e843
commit e0c7002951
5 changed files with 39 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

BIN
Assignment_001/flag_printer.jar
View File

Binary file not shown.

BIN
Assignment_004/payload_2.so
View File

Binary file not shown.

BIN
Assignment_005/payload_1b 100755
View File

Binary file not shown.

38
Assignment_005/readme.md 100644
View File

@ -0,0 +1,38 @@
# Assignment: Importe mit rabin2 untersuchen (payload_1b)
<!-- Points: 5 -->
In diesem Assignment geht es darum, Techniken kennenzulernen, die Autoren von Malware benutzen, um sich einer statischen Analyse zu entziehen. Hierzu werden wir erneut das `rabin2`-Tool aus dem Radare 2 Paket verwenden.
## Radare 2
Für diese Übung werden wir das Kommandozeilen-Reverse-Engineering-Werkzeug Radare 2 einsetzen. Sie finden Tipps zur Installation und Verwendung in der [Kurzanleitung](../help/radare2.md).
## Aufgabe
Das Werkzeug `rabin2` kann dazu verwendet werden, die importierten Funktionen und enthaltenen Strings einer Binärdatei zu untersuchen. Sie können zur Anzeige der Strings auch das `strings`-Kommando verwenden.
Nehmen Sie sich die folgende Datei vor und verwenden Sie `rabin2`, um sich die Importe (Option `-i`) und die enthaltenen Strings (Option `-z`) anzeigen zu lassen.
* [payload_1b](payload_1b)<!-- binary -->
## Hinweis
Bei dem Executable handelt es sich um ein Programm unbekannter Funktionalität, wie man sie z.B. bei der Untersuchung von kompromittierten Rechner finden könnte. Es kann gut sein, dass es sich um eine _Malware_ handelt, welche bei der Ausführung Schaden verursacht, bis hin zur Zerstörung aller Daten auf dem Rechner. Deswegen sollten Sie die Datei __auf keinen Fall__ ohne Schutzmaßnahmen (virtuelle Maschine etc.) __ausführen__. Die hier vorgenommene Analyse kommt ohne Ausführung der Datei aus und ist insofern sicher auch ohne Schutzmaßnahmen durchführbar.
Sie müssen in der Realität damit rechnen, dass die Malware Schwachstellen in den von Ihnen verwendeten Werkzeugen nutzt, um bei einem Reverse-Engineering Ihren Rechner anzugreifen. Da wir uns hier in einem Übungskontext befinden, ignorieren wir dieses Problem.
Die Liste der Funktionen, die importiert werden, ist recht kurz. Die Strings sind kryptisch und seltsam.
Diese Software verschleiert offensichtlich die Bibliotheksfunktionen, die sie benutzt. Können Sie dahinter kommen, wie hierbei vorgegangen wird und welche Funktionen verwendet werden?
## Abgabe
* Schreiben Sie auf, was Sie über die Datei herausgefunden haben.
* Geben Sie eine Einschätzung ab, ob es sich möglicherweise um eine Malware handelt.
* Welche Art von Malware könnte vorliegen? Was macht sie wahrscheinlich?
Die Abgabe erfolgt über das Repository, das Ihrem Team zugeordnet ist.

1
readme.md
View File

@ -19,6 +19,7 @@ Hinweise zur nötigen Softwareausstattung finden Sie [hier](help/software.md).
| 2. | 02.10.2024 | [Dateien mit `file` untersuchen (files.zip)](Assignment_002/readme.md) | | [](Assignment_002/solution/) |
| 3. | 02.10.2024 | [Importe mit rabin2 untersuchen (payload_1)](Assignment_003/readme.md) | **08.10.2024** | |
| 4. | 02.10.2024 | [Exports und Imports mit rabin2 untersuchen (payload_2.so)](Assignment_004/readme.md) | **08.10.2024** | |
| 5. | 09.10.2024 | [Importe mit rabin2 untersuchen (payload_1b)](Assignment_005/readme.md) | | |
## 🎓 Benotung