「たのしいバイナリの歩き方」備忘録
「ソースコードなどが一切ない状態からそのソフトウェアを把握する」
・Stirling(バイナリエディタ)
・Process Monitor(ファイルとレジストリの監視)
・Wireshark(ネットワークの監視)
実行するとスタートアップフォルダに自分のコピーを置いたり、レジストリを書き換えるマルウェアのサンプルを実行して、Process MonitorやWiresharkひいてはリバースエンジニアリングの方法を学ぶ。
今回はネットワークに関する挙動はなかったが、リバースエンジニアリングでは、プロセス監視、レジストリ監視、ネットワーク監視は必ず同時につけて見張っておくべき。
■静的解析
・PEフォーマット(Windowsのexeファイルのデータ形式)
・IDA(逆アセンブラ)
>そのまま開くと死ぬので互換性→管理者権限でプログラムを実行するにチェック
IDAでexe開いたけどwWinMainなかった()
これでCTF1問解いてみたいですね