自分用の備忘録。定期的に記事を見直し、修正が必要な部分は修正すること。
WannaCryとは2017年5月頃に確認され、猛威を振ったをランサムウェアです。なぜ今さら取り上げたのかと言うと、先日このWannaCryを目にする機会があったためです。 WannaCryはすでに色々な人や組織が解析記事を書いています。腕試しにWannaCryを解析して、他所の解析記事と解析結果を比較(答え合わせともいう)してみました。 今回自分が解析したサンプルはmssecsvc.exe (MD5ハッシュ値: 478abb44dbba06e87decd2df49f3d986)およびmssecsvc.exeがドロップしたバイナリです。 ※逆アセンブル内の変数名や関数名は一部解析に当たり、わかりやすいようにデフォルトのものから変更しています。
RunとRunOnceのレジストリキーは、どちらもユーザーのログイン時に指定されたプログラムや処理を自動実行する。 Runキーに登録された処理は、ユーザーがログインするたびに毎回実行されるが、RunOnceキーに登録された処理は、一度実行されると、キーから処理が削除される。 今回はRunOnceの挙動をテストしてみた。
PsExecについて、すでに色々なまとめ記事がありますが、個人的に押さえておきたいポイントだけ、さっとメモ。
RSA暗号の仕組みについてのメモ。 この記事を書くに当たり、結城 浩 著 暗号技術入門 第3版 (SBクリエイティブ株式会社発行)を大いに参考にしました。 また、この記事はサンプルデータとしてksnctf 問題33 HTTPS is secure を取り上げており、後半には問題の解法も記しています。
前回の記事同様、きっかけはCTF。 先日参加した社内のCTFに.NETファイルを取り扱った問題がありました。 「.NETファイルならdnSpyでデコンパイルしてコードを眺めればすぐ解けそう!」と思い勇んで挑戦しました。
先日、社内のCTFに参加して、バイトオーダーに考えが及ばなかったばかりに初級の問題を落とす羽目になり、悔しい思いをしたのでメモ。
stack stringsのメモ
scdbg -f shellcode.bin 呼び出されるAPIを列挙する scdbg -f shellcode.bin -api -s -1 参考 http://sandsprite.com/blogs/index.php?uid=7&pid=152 https://isc.sans.edu/forums/diary/Another+quickie+Using+scdbg+to+analyze+shellcode/24058/
HKLMとHKCU Runキーについて以下のような記述を見かけた。
x32dbg (x64dbg)の使い方に関するメモ