Código Nu: Desvendando o Protetor ElecKey

Código Nu: Desvendando o Protetor ElecKey

Este artigo explora o protetor ElecKey, um tipo de proteção de software incomum, e demonstra como contorná-lo para remover a proteção. O artigo detalha o processo de dump, análise e correção de um executável protegido, revelando as dificuldades e soluções encontradas.

MundiX News·21 de maio de 2026·10 min de leitura·👁 16 views

Hoje, vamos analisar o protetor incomum ElecKey e ver como a proteção de um aplicativo pode ser comprometida. Ao mesmo tempo, descobriremos por que as ferramentas de dump padrão não conseguem lidar com essa tarefa, encontraremos uma solução alternativa e escreveremos um pequeno script de demonstração.

Aviso: Este artigo é apenas para fins informativos e educacionais. O autor e a redação não se responsabilizam por quaisquer danos causados pelo uso das informações fornecidas. A disseminação de malware, a violação do funcionamento de sistemas e a violação do sigilo da correspondência são puníveis por lei.

Vamos continuar nossa excursão por vários protetores exóticos e seus mundos internos. Desta vez, encontramos um tipo de proteção bastante raro — ElecKey, então vamos tratá-lo com mais severidade do que o normal. Não nos limitaremos a patches, proxies e recomendações sobre como escrever nossos próprios decriptadores, mas simplesmente removeremos a proteção completamente.

Suponha que tenhamos um determinado aplicativo nativo, cujo código executável seja criptografado ou empacotado com alto grau de entropia. O Detect It Easy fornece as seguintes informações sobre o protetor:

PE64
Operation system: Windows(10)[AMD64, 64-bit, GUI]
Linker: Microsoft Linker(14.44.35221)
Compiler: Microsoft Visual C/C++ (19.44.35221)[C++]
Language: C++
Tool: Microsoft Visual Studio(2022, 17.14)
Sign tool: Windows Authenticode(2.0)[PKCS #7]
Protector: ElecKey(2.00.X) (Heur)
Protection: Generic[Stack-push address near EP Section #0 (".text") has RWX] (Heur)
Packer: Generic[Last section EP Sections like ElecKey Section #0 (".text") compressed High entropy]

É necessário remover o protetor do programa, obtendo um código funcional, transparente para engenharia reversa e patching. Como o programa é executado em nosso computador e funciona totalmente, temos todas as chances de que essa tarefa possa ser resolvida com um dump. O "Hacker" já publicou artigos sobre como fazer isso, e em meus artigos anteriores, fizemos dump de aplicativos repetidamente do depurador x64dbg usando o plugin Scylla. Vamos tentar seguir o mesmo caminho desta vez, pois o programa é executado sob o depurador e permite ser interrompido.

Infelizmente, este plano falha já no estágio de autodetecção do IAT.

Poderíamos procurar o IAT manualmente, mas parece que a raiz do problema reside no ponto de entrada incorreto OEP, então vamos começar a procurá-lo. Para começar, vamos tentar interromper o programa e rastrear a chamada superior dele na pilha de retorno.

Carregaremos a variante dumpada no IDA e veremos essa chamada no código descompilado.

Muito parecido com o código inicial do aplicativo em C. Vamos ver no IDA de onde esse procedimento é chamado.

Chamada de procedimento no IDA

Parece que o endereço no código dumpado EC596C (RVA=25596C) é o ponto de entrada do programa desejado. Este endereço poderia ser obtido por meio de um rastreamento ou definindo um ponto de interrupção na seção .text, contendo o código executável descriptografado, mas ambos os métodos têm certas nuances. Portanto, se for possível encontrar o ponto de entrada por meio de investigações teóricas no IDA, é mais fácil fazê-lo dessa maneira.

Bem, inserimos o OEP correto no campo apropriado da janela Scylla e vemos que agora a pesquisa automática do IAT também funciona, e as importações nele se parecem com as reais.

Removemos as últimas inválidas da lista de importações, fazemos o dump do programa e corrigimos o dump resultante. Infelizmente, o milagre não aconteceu: o programa dumpado não é executado (e nem carrega no depurador x64dbg), falhando com o erro C000007B STATUS_INVALID_IMAGE_FORMAT (FORMATO DE IMAGEM INVÁLIDO). Obviamente, Scylla fez algo errado durante o dump, e o problema é que a "Microsoft" não forneceu nenhuma dica sobre o que exatamente o formato da imagem não atende aos altos padrões de carregamento.

Um artigo mais ou menos decente sobre isso está no site DataDump, e, depois de lê-lo, tentaremos descobrir o que está errado no módulo dumpado.

Abriremos os programas originais e dumpados no CFF Explorer e compararemos os mapas de seção.

É visível que os tamanhos das seções mudaram, e Scylla adicionou sua própria seção, na qual colocou o IAT restaurado a seu critério. Parece que tudo se encaixa em tamanho, e parece que todos os dados estão em seus lugares. No entanto, a pequena seção vazia .ftable com apenas 0x200 bytes de tamanho inspira suspeitas. Durante o dump, Scylla, por algum motivo, a torna vazia e se sobrepõe à seção .rsrc que a segue, o que transforma a imagem em uma imagem definitivamente incorreta.

É verdade que, após a correção, esta seção é restaurada (o que é visível na captura de tela anterior), mas algumas alterações irreversíveis podem ocorrer. Normalmente, o sistema operacional olha para essas excentricidades de Scylla com favor, mas isso não elimina o problema em nosso caso — a imagem dumpada e corrigida se recusa teimosamente a carregar. E mesmo para entender o porquê, é preciso fazer muitos movimentos complexos, mergulhando nas entranhas do kernel, o que você realmente não quer fazer para remover um protetor relativamente simples.

Vamos pensar: precisamos reconstruir a importação em nosso caso? Talvez estejamos arrombando uma porta aberta? Na verdade, o IAT está localizado na seção .rdata, que não é criptografada nem empacotada. Se no cabeçalho do módulo dumpado, você alterar manualmente o ponteiro IAT do restaurado para o original e, em seguida, carregar o módulo no descompilador IDA, o código de chamada das funções importadas parece totalmente funcional à primeira vista. Além disso, a julgar por tudo, exceto a descriptografia da seção .text, após o dump, não há alterações nas outras seções, mesmo os tamanhos são aproximadamente preservados com a precisão do alinhamento.

O restante do artigo está disponível apenas para membros.

Materiais das edições mais recentes

tornam-se disponíveis separadamente apenas dois meses após a publicação. Para continuar lendo, você deve se tornar membro da comunidade "Xakep.ru".

Junte-se à comunidade "Xakep.ru"!

A associação à comunidade durante o período especificado lhe dará acesso a TODOS os materiais do "Hacker", permitirá que você baixe edições em PDF, desative a publicidade no site e aumente seu desconto acumulativo pessoal!

Mais detalhes

Eu já sou membro do "Xakep.ru"

← Anterior

Exploit PoC publicado para a vulnerabilidade DirtyDecrypt do Linux

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.