Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab06のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。
PracticalMalwareAnalysis-Labs06 WriteUp
Posted on
Category: Reversing
PracticalMalwareAnalysis-Labs05 WriteUp
Posted on
Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab05のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。
PracticalMalwareAnalysis-Labs03 WriteUp
Posted on
Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab03のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。
PracticalMalwareAnalysis-Labs01 WriteUp
Posted on
Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab01のWriteUp。まずは自分の解答 を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。
文字列と配列とポインタの逆アセンブルを見てみる
Posted on
文字列と配列とポインタの逆アセンブルを見てみた。ポインタに関してはデバッガでメモリ内のデータの動きを追ってみた。
アンチ・逆アセンブルを扱ったCTF問題のwriteup
Posted on
先日、アンチ・逆アセンブルを扱ったCTF問題を解いたので、そのwriteup。※このCTFチャレンジは個人的なツテで入手したもので、作問者からCTFのイベント名を公開しないことを条件にWrite Up記載の許可をもらっています。
TLS Callbacksを扱ったCTF問題のwriteup
Posted on
先日、TLS Callbacksを扱ったCTF問題を解いたので、そのwriteup。※このCTFチャレンジは個人的なツテで入手したもので、作問者からCTFのイベント名を公開しないことを条件にWrite Up記載の許可をもらっています。
プログラムのソースコードや逆アセンブルからRC4暗号の兆候を見つける
Posted on
RC4暗号が実装されたプログラムのソースコードや逆アセンブルにはどのような特徴があるかのメモ。RC4暗号についてはこちら。
CFF ExplorerでWinodwsファイルのASLRを無効化するには
Posted on
ASLR (Address space layout randomization)とは、実行プログラムがメモリ領域に格納するデータのアドレスをランダム化する技術のこと。 プログラムを攻撃から守るためのセキュリティ機能ではあるものの、プログラムをデバッガ等で解析する際は、アドレスが固定されていたほうが解析しやすい。 解析対象がWinodwsファイルの場合、CFF Explorerを利用してASLRを無効化できる。 ファイルをCFF Explorerで開き、Optional HeaderセクションからDllCharactersiticsのClick hereをクリックする。"DLL can move"の項にチェックが入っている場合はASLRが有効化されている。無効にしたい場合はチェックを外す。 参考https://www.sans.org/blog/tools-for-analyzing-static-properties-of-suspicious-files-on-windows/https://www.sans.org/blog/dealing-with-aslr-when-analyzing-malware-on-windows-8-1/
[Windows] ベース・アドレスのメモ
Posted on
Windowsにおいて、ベース・アドレスとはプログラムがメモリにロードされる際に使用されるデフォルトのアドレス位置のこと。