-
kumikumitm
- 1360
- 5
- 0
- 0
-
- いいね!0
らびさん(ravicot)
@ravicot
まじで!? > 慣れてくると(勘がはたらくと)、文字列とサイズから復号化されているかもしれないという推測ができる。#SC4Y
2021-02-28 14:38:44
Aruneko @ 03/31 Kapustin Fest.
@aruneko99
Ghidraさん、変数の型を `char *` に変更すると自動的に配列として表示を変更してくれるのか! #SC4Y
2021-02-28 14:39:42
筒天@【卒業】団体一名様
@tututen
pythonでやっちった print("".join([chr(ord(c)^0x59)for c in '<<encode_str>>'])) #SC4Y
2021-02-28 14:41:21
筒天@【卒業】団体一名様
@tututen
MZ > ファイルは、ファイルの先頭にあるASCII文字列「MZ」(16進数:4D 5A)(「マジックナンバー」)で識別できます。「MZ」は、MS-DOSの主要な開発者の1人であるMarkZbikowskiのイニシャルです。 ほぇぇ #SC4Y en.wikipedia.org/wiki/DOS_MZ_ex…
2021-02-28 15:25:36
Aruneko @ 03/31 Kapustin Fest.
@aruneko99
YARAのテンプレートの拡張子は `yar` か `yara` か? #SC4Y
2021-02-28 15:29:26
筒天@【卒業】団体一名様
@tututen
そして間違って yarac [yara file] [exe file]ってやって、exeファイルがyaraファイルの何かに書き換わった #SC4Y
2021-02-28 15:42:00
筒天@【卒業】団体一名様
@tututen
PE Portable Executable > 主に32ビットおよび64ビット版のMicrosoft Windows上で使用される実行ファイル (EXE)、オブジェクトファイル、DLL、SYS (デバイスドライバ)、FON フォントファイル等のファイルフォーマットである #SC4Y ja.wikipedia.org/wiki/Portable_…
2021-02-28 15:46:32
Aruneko @ 03/31 Kapustin Fest.
@aruneko99
sample-b.exe、WindowsDefenderによって葬り去られてしまったw #SC4Y
2021-02-28 15:48:54
らびさん(ravicot)
@ravicot
マルウェア固有のアルゴリズムやコードは変更しづらい&可変列はそのままでということで、特徴的な命令列を特定し、可変部分をマスクしながらYaraルールに落とし込む #SC4Y
2021-02-28 15:49:59
SIGMA
@SIGMA_OUtkn
macでyaraのコンパイルうまくいかんくて今までwindowsでやってたけどmacだとbrewでyaraが入ることに気づいてしまった #SC4Y
2021-02-28 15:59:43
Sharkskii
@SCphoenix2
大変勉強になってます。yaraの実行で少し戸惑いましたが、初めてGhidra使えた気がした。これが運営の言う認知バイアスか草 SC4Y ('20#4) Ghidra ハンズオン ワークショップ #Ghidra #SC4Y sc4y.connpass.com/event/204104/?…
2021-02-28 16:05:38
Aruneko @ 03/31 Kapustin Fest.
@aruneko99
どこをマスクすればいいかについてはちょっと機械語の知識があった方がわかりやすいかも? #SC4Y
2021-02-28 16:10:29
Sharkskii
@SCphoenix2
#Ghidra の本買おうか迷い中。#yamasec さんの勉強会も出ましたが、頂いた資料とサンプル全然読み切れてないのでまずはそっちな気もする。あとはやっぱりCとかちゃんとやんないといけないなー…基本はエンジニアリングですね。 #SC4Y
2021-02-28 16:11:58