RC4暗号が実装されたプログラムのソースコードや逆アセンブルにはどのような特徴があるかのメモ。
RC4暗号についてはこちら。
ソースコードからRC4暗号の兆候を見つける
配列データに対して mod 256 をとっている
逆アセンブルからRC4暗号の兆候を見つける
cmp [register], 100h (0x100, 256) でループをとり、div、idiv、and、add、xorなどの命令でデータの演算をしている
参考
https://blog.talosintelligence.com/2014/06/an-introduction-to-recognizing-and.html
https://www.youtube.com/watch?v=CiJocXXMXK4
