Subscribed unsubscribe Subscribe Subscribe

IDAPython

1. はじめに IDAPythonに触れてみたので覚書として. 2. コードサンプル IDAPython, IDA SDK: Welcome で調べることができる. 後はひたすら調べる. 2.1 色をつける 個人的に解析を行う際に未定義の関数 (sub_***) がそのままでは他の命令と混じってしまい, 判…

shellcode(3) 構造体編

1. はじめに shellcodeの解析の際に必要となった構造体情報を残しておく. 2. 構造体 ・_TEB 0:000> dt _TEBntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID +0x028 ActiveRpcHandle : Ptr32 Void +…

shellcode(2)

1. はじめに 前回に引き続きshellcodeを生成して読んでみる. 2. shellcodeの生成 Kali Linux内のmetasploitを利用してshellcodeを生成する. root@kali:~# uname -aLinux kali 4.5.0-kali1-amd64 #1 SMP Debian 4.5.3-2kali1 (2016-05-09) x86_64 GNU/Linux r…

Yara

1. はじめに YARAについての覚書として. YARAとはマルウェア等を識別するツールである. いわゆるシグネチャマッチングができる. YARA is nutshell 2. rule 今回テストとしてEICARテストファイルを使用する. テンプレートを示しておく. conditionに判定を記述…

shellcode

1. はじめに LabyREnth CTF Windows Track のLv6の問題 (Shellcode) にて. 覚書として. 2. shllcode Ambrosius.exeを対象に行う. > cdb Ambrosius.exe 0:000> dt _TEBntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 Clie…

LabyREnth CTF (Windows Lv3)

1. はじめに LabyREnth CTF - くじらとたぬきと同じ. 2. writeup ・Squirtle (Windows Lv3) zipを解凍する(Pass : infected)とSquirtleChallenge.exeが出てくる. 基本的にAnti Debugの問題. それぞれをデバッガで消していく or 条件を合わせると解ける. 最終…

LabyREnth CTF (Unix)

1. はじめに LabyREnth CTF - くじらとたぬきと同じ. 2. writeup ・Perl (Unix Lv1) zipを解凍する(Pass : infected)とbowie.plが出てくる. (一部抜粋) my $input = ; $input = trim($input); if ($input eq (chr(5156 - 5035) . chr(-4615 - -4716) . chr(3…

LabyREnth CTF (Docs)

1. はじめに LabyREnth CTF - くじらとたぬきと同じ. 2. writeup ・BadMacro (Docs Lv1) zipを解凍する(Pass : infected)とchallenge.docが出てくる. challenge.docからVBAを抽出する. Attribute VB_Name = "ThisDocument" Attribute VB_Base = "1Normal.Thi…

LabyREnth CTF (Windows)

1. はじめに LabyREnth CTFに参加した. 解いた問題について残しておく.出題された分野はWindows, Unix, Threat, Mobile, Docs, Randomである. 2. writeup ・AntiD (Windows Lv1) zipを解凍する(Pass : infected)とAntiD.exeが出てくる. 実行してみる. UPXで…