31 jul 2017

Desensamblando ejecutables con Dumpbin. Parte 1

Buenas a todos, en el post de hoy quería hablaros de la utilidad "Microsoft COFF Binary File Dumper", también conocida como Dumpbin (DUMPBIN.EXE):


Si sois programadores de Visual Studio, la podréis encontrar generalmente en la siguiente ruta "Program Files (x86)\Microsoft Visual Studio X.X\VC\bin\", ya que se instala con las utilidades de Visual Studio. Pero si no la tenéis os dejo el paquete exacto donde se incluye en el siguiente enlace:


Esta herramienta permite volcar información acerca de archivos binarios en formato Common Object File Format (COFF), permitiendo analizar ejecutables, librerías DLL, etc.

Es una herramienta de consola muy útil para los analistas de malware. Si la ejecutáis sin parámetros os indicará todos los parámetros que podréis utilizar:


Con /ALL tendréis toda la información de un binario (dependencias, directivas, secciones, código ASM desensamblado, etc. etc.), aunque es más cómodo ir analizándolo por partes.

Por ejemplo, si quisiésemos ver las secciones de nuestra herramienta "winprocdump", ejecutaríamos la siguiente instrucción:

  • dumpbin.exe /SECTIONS winprocdump.exe



En próximos posts os explicaremos cómo sacarle partido a esta utilidad de Microsoft.

Saludos!

No hay comentarios:

Publicar un comentario