Averiguar llamadas al sistema o comandos desde un programa

Iniciado por l_s_h_s, 20 Enero 2015, 20:07 PM

0 Miembros y 1 Visitante están viendo este tema.

l_s_h_s

Hola.
   Me gustaría encontrar algún documento en el que se explique como averiguar o analizar las llamadas al sistema desde un programa. Por ejemplo, en un script de bash o cualquier otro lengua interpretado es fácil, solo hay que leerlo y ver si se ejecuta un "clear" (comando) o algo por el estilo. Pero cuando es un programa compilado la cosa creo que es mas complicada... aunque quizás ¿con un editor hexadecimal se puedan ver?, no se, de todas formas busco información pero de momento no la encuentro.

   Hace tiempo, años, recuerdo haber leído algo sobre esto en un ezine, pero no recuerdo en cual... ¿alguien con buena memoria? :)

Salu2

MCKSys Argentina

Cita de: l_s_h_s en 20 Enero 2015, 20:07 PM
Hola.
   Me gustaría encontrar algún documento en el que se explique como averiguar o analizar las llamadas al sistema desde un programa. Por ejemplo, en un script de bash o cualquier otro lengua interpretado es fácil, solo hay que leerlo y ver si se ejecuta un "clear" (comando) o algo por el estilo. Pero cuando es un programa compilado la cosa creo que es mas complicada... aunque quizás ¿con un editor hexadecimal se puedan ver?, no se, de todas formas busco información pero de momento no la encuentro.

   Hace tiempo, años, recuerdo haber leído algo sobre esto en un ezine, pero no recuerdo en cual... ¿alguien con buena memoria? :)

Salu2

En Windows puedes ver las funciones importadas de un programa (con Dependency Walker, CFF Explorer, etc.) y con eso tienes una punta de la cual comenzar.
Por supuesto, el programa puede acceder en runtime a otras funciones/librerias.
Si tiene una proteccion (packer), las cosas se hacen más dificiles aún.

Tambien podrias usar alguna herramienta forense que ejecute el programa sandboxeado y capture todo lo que hace el programa (archivos, registro/APIs/etc.).

Otra opcion es subir el ejecutable a este sitio para que sea analizado. El sitio de dara un informe bastante amplio.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


l_s_h_s

#2
   Gracias por la respuesta, aunque de momento solo estoy viendo Linux no descarto que me pueda interesar mas adelante también entrar a curiosear windows.
 Por otra parte, he visto la utilidad strace, que me da la información que deseaba en principio, y digo esto porque esta utilidad es en tiempo de ejecución, y a mi también me interesa analizar el archivo sin estar ejecutándose, así que hará falta un editor o desensablador  ¿¿¿supongo???
 Seguiré mirando y buscando... salu2

.:UND3R:.

Usa ltrace y objdump -d -m intel ejecutable

O nm -d ejecutable

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)