- kumikumitm
- 1360
- 5
- 0
- 0
まじで!? > 慣れてくると(勘がはたらくと)、文字列とサイズから復号化されているかもしれないという推測ができる。#SC4Y
2021-02-28 14:38:44Ghidraさん、変数の型を `char *` に変更すると自動的に配列として表示を変更してくれるのか! #SC4Y
2021-02-28 14:39:42pythonでやっちった print("".join([chr(ord(c)^0x59)for c in '<<encode_str>>'])) #SC4Y
2021-02-28 14:41:21MZ > ファイルは、ファイルの先頭にあるASCII文字列「MZ」(16進数:4D 5A)(「マジックナンバー」)で識別できます。「MZ」は、MS-DOSの主要な開発者の1人であるMarkZbikowskiのイニシャルです。 ほぇぇ #SC4Y en.wikipedia.org/wiki/DOS_MZ_ex…
2021-02-28 15:25:36YARAのテンプレートの拡張子は `yar` か `yara` か? #SC4Y
2021-02-28 15:29:26そして間違って yarac [yara file] [exe file]ってやって、exeファイルがyaraファイルの何かに書き換わった #SC4Y
2021-02-28 15:42:00PE Portable Executable > 主に32ビットおよび64ビット版のMicrosoft Windows上で使用される実行ファイル (EXE)、オブジェクトファイル、DLL、SYS (デバイスドライバ)、FON フォントファイル等のファイルフォーマットである #SC4Y ja.wikipedia.org/wiki/Portable_…
2021-02-28 15:46:32sample-b.exe、WindowsDefenderによって葬り去られてしまったw #SC4Y
2021-02-28 15:48:54マルウェア固有のアルゴリズムやコードは変更しづらい&可変列はそのままでということで、特徴的な命令列を特定し、可変部分をマスクしながらYaraルールに落とし込む #SC4Y
2021-02-28 15:49:59macでyaraのコンパイルうまくいかんくて今までwindowsでやってたけどmacだとbrewでyaraが入ることに気づいてしまった #SC4Y
2021-02-28 15:59:43大変勉強になってます。yaraの実行で少し戸惑いましたが、初めてGhidra使えた気がした。これが運営の言う認知バイアスか草 SC4Y ('20#4) Ghidra ハンズオン ワークショップ #Ghidra #SC4Y sc4y.connpass.com/event/204104/?…
2021-02-28 16:05:38どこをマスクすればいいかについてはちょっと機械語の知識があった方がわかりやすいかも? #SC4Y
2021-02-28 16:10:29#Ghidra の本買おうか迷い中。#yamasec さんの勉強会も出ましたが、頂いた資料とサンプル全然読み切れてないのでまずはそっちな気もする。あとはやっぱりCとかちゃんとやんないといけないなー…基本はエンジニアリングですね。 #SC4Y
2021-02-28 16:11:58