Scribd Logo
Importer

Bienvenue sur Scribd !

  • 22 vues

    Tp7 Corrige Re Analyse Statique

    Transféré par

    Salsa

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Tp7 Corrige Re Analyse Statique

    Transféré par

    Salsa
    22 vues4 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    22 vues4 pages

    Tp7 Corrige Re Analyse Statique

    Transféré par

    Salsa

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 4

    Université Batna2

    Chahid Mostefa Benboulaid


    Faculté des sciences Département d’informatique TP Cyber Sécurité 2

    TP7: Reverse Engineering


    Dans cette première partie du TP de reverse engineering nous allons voir comment nous
    faisons une analyse statique.

    Les outils que nous allons utiliser sont:

     .NET Reflector: c'est un outil permettant de décompiler un


    programme.exe (de l'entreprise red-gate)
     Strings: c'est un outil permettant de récupérer toutes les
    chaînes de caractères visible sur un programme (en ligne de
    commande)
     PEstudio: c'est un outil permettant de parser les fichiers PE

    1) Sur votre machine Windows :

    a) Désactivez l'antivirus et le FW de votre machine Windows.


    b) Dézippez le dossier TP_RE_Tools avec le mot de passe "RETP2022".
    c) Installez les outils Reflector et PEstudion qui se trouvent dans le dossier TP_RE_Tools

    2) Ouvrez l'outil .NET Reflector vous aurez une interface avec des bibliothèques chargées par
    défaut à gauche de l'outil, à droite de l'interface graphique vous avez le décompilation.

    a) Glissez votre fichier ISIDS.exe en bas à gauche.

    Enseignante: Nesrine KHERNANE


    Université Batna2
    Chahid Mostefa Benboulaid
    Faculté des sciences Département d’informatique TP Cyber Sécurité 2

     Que remarquez-vous ? Le fichier a changé de nom à Keylogger.exe


    b) cliquez sur le "+" à coté de votre programme, ensuite sur le "+" à côté de
    "Keylogger.exe", ensuite sur le "+" à côté de "{} Keylogger", ensuite sur le "+" à côté de
    "form1".
    Si vous cliquez maintenant sur "form1", Reflector va vous afficher le code source du
    programme ISIDS.exe
    En bas de Form1, vous avez les fonctions appelées et utilisées par le Code ISIDS.

    o Ouvrez les deux fonctions "Form1_Load (Object, EventArgs): Void" et


    "SendLogs(Strings): Void" et dites ce que vous remarquez ?
     "Form1_Load (Object, EventArgs): Void" nous montre la clé de registre ce qui
    signifie que le programme essaie de s'enregistrer à la clé de registre RUN pour
    s'exécuter automatiquement à chaque redémarrage de la machine
     "SendLogs(Strings): Void" nous montre l'adresse vers laquelle l'attaquant essaie
    d'envoyer le fichier logs.txt qui contient les touches tapées avec son login/mot de
    passe.

    3) Exécutez le programme ISIDS.exe, ouvrez un éditeur de texte de votre choix et tapez le


    texte suivant: "test hello world". Attention cette étape nécessite une connexion internet:

    a) Ouvrez la ligne de commande en tapant "cmd" sur votre barre de recherche.


    b) tapez la commande "ftp files.000webhost.com" ensuite le login ensuite le mot de
    passe retrouvés dans la fonction "SendLogs(Strings): Void".
    - Tapez ensuite "ls". Qu'est ce que vous remarquez ? le fichier logs.txt

    Enseignante: Nesrine KHERNANE


    Université Batna2
    Chahid Mostefa Benboulaid
    Faculté des sciences Département d’informatique TP Cyber Sécurité 2

    - Tapez la commande "get logs.txt" ensuite cherchez ce fichier sur votre barre de
    recherche et ouvrez le avec votre éditeur de texte préféré. Que remarquez-vous ? Le
    texte tapé auparavant à l'étape 3
    - Tapez la commande "quit" pour quitter le mode ftp.

    Attention: Nous nous permettons d'exécuter ce code malveillant sur notre machine hôte
    car c'est notre programme et on sait ce qu'il fait. Autrement, il est fortement déconseillé
    d'exécuter un programme malveillant sur votre machine car vous allez infecter votre
    machine hôte. Dans le cas d'analyse dynamique de malware il faut créer un environnement
    sûr afin d'exécuter ce dernier.

    4) Après avoir dézippé le dossier "Strings", ouvrez la ligne de commande "cmd" et tapez la
    commande suivante:

    "chemin vers votre strings\strings.exe" "chemin vers votre code\ISIDS.exe" > Strings.txt

    Exemple:

     Donnez 5 chaînes de caractères permettant de faire une hypothèse sur le


    fonctionnement de ce malware.
     Donnez 3 chaînes de caractères non significatives.

    5) Ouvrez l'outil PEstudio et glissez votre programme ISIDS à l'intérieur de ce dernier.

    Quelle information pourrions-nous avoir avec depuis la capture ci-dessus?

    Enseignante: Nesrine KHERNANE


    Université Batna2
    Chahid Mostefa Benboulaid
    Faculté des sciences Département d’informatique TP Cyber Sécurité 2

     Le hash
     le langage .NET ==> visual basic
     description: Keylogger
     c'est un fichier exécutable conçu pour les machines 32bits compilé le 05 novembre
    2022

    Passez aux autres tab et dites ce que vous pouvez avoir comme informations ?

    Enseignante: Nesrine KHERNANE

    Vous aimerez peut-être aussi