ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

La idea de esta serie de tutoriales es realizar una actualización de nuestro original curso de reversing esta vez utilizando IDA PRO aprendiendo a usarlo desde cero y también trabajar en Windows más actualizados en este caso estoy utilizando Windows 10


Enviado por   •  26 de Febrero de 2017  •  Tutorial  •  1.216 Palabras (5 Páginas)  •  437 Visitas

Página 1 de 5

INTRODUCCIÓN AL REVERSING CON IDA PRO DESDE CERO

La idea de esta serie de tutoriales es realizar una actualización de nuestro original curso de reversing esta vez utilizando IDA PRO aprendiendo a usarlo desde cero y también trabajar en Windows más actualizados en este caso estoy utilizando Windows 10 Anniversary Update con todos los parches al 29 de octubre de 2016 de 64 bits.

PORQUE IDA PRO?

Porque mientras que OLLYDBG nos limitaba ya que es solo un debugger para 32 bits en user mode de Windows, IDA PRO es una herramienta completa de reversing que se puede usar en 32 bits y 64 bits como desensamblador y como debugger, permite reversing estático lo cual no se puede realizar con OLLYDBG y además el que lo aprende a usar a pesar de tener una curva más compleja nos permitirá también trabajar nativamente en Windows, Linux or Mac OS X y remotamente en los siguientes sistemas operativos.

[pic 1]

Para darse una idea de los procesadores soportados aquí la lista :


[pic 2]

Como vemos aprender a usar IDA nos permitirá ampliar nuestro universo de trabajo aunque en esta serie de tutes nos centraremos en Windows 32 y 64 en user y a veces kernel mode el hecho de familiarizarnos con la herramienta nos permitirá adaptarnos fácilmente a cualquier uso.

La idea de estos tutoriales es empezar desde cero o sea que muchas cosas que vimos en la introducción a Ollydbg se verá de nuevo aquí pero en IDA tratando de llegar más lejos desde el mismo inicio.

Por lo tanto aquí habrá de todo reversing estático y dinámico, cracking, exploit, unpacking trataremos de abarcar lo más posible empezando desde cero.

LO PRIMERO ES LO PRIMERO 

Lo primero es obtener el IDA PRO el problema es que es un programa pago y no podríamos obtenerlo sin pagar unos buenos pesos que lo vale.

No podemos distribuirlo pero buscando en google IDA PRO 6.8 + HEXRAYS que es la versión que trabajaremos y es la última leakeada podrán bajarlo sin problemas.

[pic 3]

Allí vemos los archivos que contiene el zip que bajamos, está el instalador que se llama idapronw_hexarmw_hexx64w_hexx86w_150413_cb5d8b3937caf856aaae750455d2b4ae y  pide al instalar un password que esta en el archivo install_pass.txt.

También nos instalará Python 2.7.6. Conviene para no tener problemas usar la versión incluida en IDA y si instalamos Python standalone que sea la misma versión que usa ida para no conflictuar.

[pic 4]

Una vez instalado podemos usarlo por primera vez. y como siempre abriremos como en todo curso que se precie el crackme de Cruehead que estará adjuntado junto con el tutorial.

[pic 5]

Como es un ejecutable de 32 bits lo abrimos con la versión de iDA para 32 bits que se arranca con ese acceso directo.

[pic 6]

Si lo corriéramos fuera de IDA vemos en el task manager de Windows que es un proceso de 32 bits, si queremos ver si es de 32 o 64 bits sin correrlo, con un editor hexa como por ejemplo.

https://mh-nexus.de/en/downloads.php?product=HxD

De ahí se bajan el hxd y lo instalan

http://mh-nexus.de/downloads/HxDSetupES.zip

Esa es la versión en español.

Una forma rápida al abrir un archivo en un editor hexa para saber si es de 32 bits o de 64 a simple vista es esta.

[pic 7]

Este es uno de 64 bits nativo es el Snipping tool y vemos que después de la palabra PE tiene

PE..d†

Mientras que el crackme de Cruehead que es de 32 bits después de PE tiene.

[pic 8]

PE..L

Así que ya sabemos que lo debemos abrir con la versión de 32 bits usando el acceso directo antes mencionado, cuando nos aparece la ventana de IDA QUICK START elegimos NEW para abrir un archivo nuevo, buscamos el crackme lo abrimos.

[pic 9]

Por ahora dejamos todo así como esta ya que detecta que es un ejecutable PE correctamente y damos OK.

Si aceptamos con YES el modo PROXIMITY VIEW veremos un pantallazo de un árbol de las funciones del programa

...

Descargar como (para miembros actualizados) txt (7 Kb) pdf (1 Mb) docx (1 Mb)
Leer 4 páginas más »
Disponible sólo en Clubensayos.com