読者です 読者をやめる 読者になる 読者になる

「たのしいバイナリの歩き方」備忘録

リバースエンジニアリング

ソースコードなどが一切ない状態からそのソフトウェアを把握する」

・Stirling(バイナリエディタ
・Process Monitor(ファイルとレジストリの監視)
Wireshark(ネットワークの監視)

実行するとスタートアップフォルダに自分のコピーを置いたり、レジストリを書き換えるマルウェアのサンプルを実行して、Process MonitorやWiresharkひいてはリバースエンジニアリングの方法を学ぶ。

今回はネットワークに関する挙動はなかったが、リバースエンジニアリングでは、プロセス監視、レジストリ監視、ネットワーク監視は必ず同時につけて見張っておくべき。

レジストリ書き込みの形跡がなかった。UACかな

■静的解析

・PEフォーマット(Windowsのexeファイルのデータ形式
・IDA(逆アセンブラ) >そのまま開くと死ぬので互換性→管理者権限でプログラムを実行するにチェック

IDAでexe開いたけどwWinMainなかった()


これでCTF1問解いてみたいですね