Prochaine révision | Révision précédente |
back2root:reverse-engineering:planet-x3:part1-exploration [2023/01/11 09:20] – [premiers regards] frater | back2root:reverse-engineering:planet-x3:part1-exploration [2023/01/14 16:41] (Version actuelle) – modification externe 127.0.0.1 |
---|
Là où le tout petit "PX3.COM": | Là où le tout petit "PX3.COM": |
| |
{{:back2root:reverse-engineering:planet-x3:pasted:20230107-211209.png?nolink|}} | {{back2root:reverse-engineering:planet-x3:px3-com-loader.png?nolink|}} |
| |
Ce programme contient des parties ASCII parfaitement lisibles et cohérentes: on peut parfaitement lire ici "//px3_vga.com//", "//px3_cga.com//", ce qui confirme d'ailleurs le status de "loader" (mais uniquement pour choisir entre CGA et VGA) de ce programme, mais aussi qu'il n'est ni compressé, ni encrypté et qu'il peut donc être analyser tel quel. | Ce programme contient des parties ASCII parfaitement lisibles et cohérentes: on peut parfaitement lire ici "//px3_vga.com//", "//px3_cga.com//", ce qui confirme d'ailleurs le status de "loader" (mais uniquement pour choisir entre CGA et VGA) de ce programme, mais aussi qu'il n'est ni compressé, ni encrypté et qu'il peut donc être analyser tel quel. |
Dans les "gros" fichiers .com, les parties "ASCII" ne semble très peu lisibles, même si l'on peut deviner du texte. | Dans les "gros" fichiers .com, les parties "ASCII" ne semble très peu lisibles, même si l'on peut deviner du texte. |
| |
{{:back2root:reverse-engineering:planet-x3:pasted:20230107-211254.png?nolink|}} | {{back2root:reverse-engineering:planet-x3:px3-vga-com.png?nolink|}} |
| |
=== compression ou encryption === | === compression ou encryption === |
| |
Un autre indice est en fait les 4 lettres localisées à offset 0x24 : "UPX!", il s'agit de la signature d'[[https://github.com/upx/upx|Ultimate Packer for eXecutables]]. | Un autre indice est en fait les 4 lettres localisées à offset 0x24 : "UPX!", il s'agit de la signature d'[[https://github.com/upx/upx|Ultimate Packer for eXecutables]]. |
| il n'y a donc aucune raison d'analyser les fichiers avant de les décompresser via l'outil Ad-Hoc. |
| |
Ce fait a d'ailleurs été confirmé dans le "README.TXT" : | Ce fait a d'ailleurs été confirmé dans le "README.TXT" : |
</WRAP> | </WRAP> |
| |
il n'y a donc aucune raison d'analyser les fichiers avant de les décompresser via l'outil Ad-Hoc. | Cette phrase sous-entends que les modifications (et donc l'analyse) est permise, il n'y a donc pas de raison de ne pas le faire... |
| |
=== fichiers décompressés === | === fichiers décompressés === |