■リバースエンジニアリング

「ソースコードなどが一切ない状態からそのソフトウェアを把握する」

・Stirling（バイナリエディタ）
・Process Monitor（ファイルとレジストリの監視）
・Wireshark（ネットワークの監視）

実行するとスタートアップフォルダに自分のコピーを置いたり、レジストリを書き換えるマルウェアのサンプルを実行して、Process MonitorやWiresharkひいてはリバースエンジニアリングの方法を学ぶ。

今回はネットワークに関する挙動はなかったが、リバースエンジニアリングでは、プロセス監視、レジストリ監視、ネットワーク監視は必ず同時につけて見張っておくべき。

レジストリ書き込みの形跡がなかった。UACかな

■静的解析

・PEフォーマット（Windowsのexeファイルのデータ形式）
・IDA（逆アセンブラ） ＞そのまま開くと死ぬので互換性→管理者権限でプログラムを実行するにチェック

IDAでexe開いたけどwWinMainなかった（）

これでCTF1問解いてみたいですね