0と1しか興味ない人のためのマルウェア分析会 #01binarians

2
前へ 1 ・・ 8 9 次へ
ところてん @tokoroten

暗号化したときにキャプチャ画像。 NとEが表示される。 NEが表示されたら勘のいい人はRSAだと考える。 #01binarians

2010-12-18 16:30:12
ところてん @tokoroten

n=13511なのでとりあえず素因数分解を行う。 59と229になる。ここからキーを生成する。 #01binarians

2010-12-18 16:31:27
Itsuki Sakitsu @1tsuki_

おろ、なにやっとんの RT @lizan 今日のスライド公開しました http://bit.ly/e3Gq4O #01binarians

2010-12-18 16:31:36
ところてん @tokoroten

C#で作られたプログラムを.net reflectorというので逆アセンブルしてソースに戻して、元のコードを元にかぎ生成のプログラムを作成した。 #01binarians

2010-12-18 16:32:11
ところてん @tokoroten

.netでできたプログラムは逆コンパイルができて、かなりリアルなプログラムにまで戻すことができる。ほとんど普通のソースコードにまで戻せる。 #01binarians

2010-12-18 16:33:06
ところてん @tokoroten

複合すると、どうやらPNGファイルのようなので、画像を表示させると答えが出てくる。 #01binarians

2010-12-18 16:33:55
ところてん @tokoroten

Level4 文字コード問題 文字コードの誤検知が行われて悲惨なことになったので、元の文章をもどす。 #01binarians

2010-12-18 16:35:20
ところてん @tokoroten

テキストエディタで読み込むと、最上位ビットがたってるのになぜかUTF-7になっている。 とりあえず最上位ビットをゼロにするプログラムに食わせて変換を行う。 #01binarians

2010-12-18 16:36:00
ところてん @tokoroten

UTF16リトルエンディアンに変換を行う。 UTF-16のデータをBase64して先頭と最後に+と-をするとUTF-7になる。 #01binarians

2010-12-18 16:37:32
ところてん @tokoroten

Level 5 Crack ZIP File ふぉれんじっくの2問目 暗号化ZIPの中にhoukoku.zipがあるのでそれを取り出す。 pkcrackというツールを利用する。  #01binarians

2010-12-18 16:40:38
ところてん @tokoroten

暗号化されたZIPの中に含まれているファイルを持っている場合、暗号文と平文を持っている場合、ZIPの脆弱性を利用して、中のファイルを求めることができる。 xyz.zipの中にはkaigi.jpgが入っている。これを元にpkcrackを行う。 #01binarians

2010-12-18 16:42:05
ところてん @tokoroten

解析は時間がかかるので、その間にLV6を。 LV6はゲームになっている。テーブルテニス野ゲームになっている。 どっちがか一万点になればパスワードが表示される。 どうにかして1万点にするかなにかしないといけない。 #01binarians

2010-12-18 16:43:24
ところてん @tokoroten

pkcrackで暗号化が解けたので、houkoku.zipが出てきたので、あとはこれを開いてパスワードを出すだけです。XLSファイルがあるので、この中からパスワードを取り出します #01binarians

2010-12-18 16:45:41
ところてん @tokoroten

Lv6 UnPackEXE Ollyに食わせると実行できない。 entry pointがreturnになっている。 弊社のエンジニアが作ったパッカーになっている。 OllyがEntrypointに来る前にEntrypointが上書きされる。 #01binarians

2010-12-18 16:47:37
kusanoさん@がんばらない @kusano_k

Level5で暗号化前のhoukoku.zipがあったのはミスだったのかw 普通にhoukoku.zipを見つけてしまい、その中に答えがあるわけがないと思って逆に迷った。 #NASecContest2010 #01binarians

2010-12-18 16:49:37
ところてん @tokoroten

WinDBGを実行すると普通に実行できる。 さすがWinDBG 僕はWINDBGラブ。 isDebuggerPresentsなので、BPを仕掛ける。 実行するととまるので、10進数で1万のところがあった。 WINDBGでEIPを書き換えてゲームセット #01binarians

2010-12-18 16:50:30
ところてん @tokoroten

ウサミミハリケーンで解析した人もいるし、地道にアンパックしてもいい。 #01binarians

2010-12-18 16:51:04
ところてん @tokoroten

Lv7 難読化されたJavaScriptを解除するとどこにも使われていない変数があるので、それが答え。 #01binarians

2010-12-18 16:51:24
ところてん @tokoroten

コンテストは主催している側のスキルに依存している。 コンテストによって得意不得意がある。 面白いから出る。楽しんだもの勝ち。 #01binarians

2010-12-18 16:52:41
ところてん @tokoroten

代表取締の杉浦さんから表彰状の授与式 #01binarians

2010-12-18 16:53:27
ところてん @tokoroten

おつかれさまでしたー #01binarians

2010-12-18 16:56:29
ニシダマサタ @masata_masata

終了〜 #01binarians

2010-12-18 16:56:37
Metaphor @metaphoricwords

お疲れ様でしたー #01binarians

2010-12-18 17:12:34
いちりんちゃん @ichirin2501

お疲れ様でした~、心残りはTipsが聞けなかったことw #01binarians

2010-12-18 18:03:50
rnurachue⌬ @murachue

みんなおつかれー #01binarians

2010-12-18 20:43:31
前へ 1 ・・ 8 9 次へ

いま話題のタグ

すがやみつる33 孤独死65 新幹線657 ホテル556 離婚364 AI2263 ゲゲゲの鬼太郎197 推しの子84 任天堂1051 竹田くん5 名探偵コナン497 ねこ2433 光る君へ64 登山875 イラストレーター762