某ソフトの難読化解析をしてみた

eng
難読化がかかった某バイナリの解読をツール使ってやってみた。
まず、 .enigma1 / .enigma2 セクションがあるので Enigma Virtual Box で圧縮されてると思われるので、これを解凍

EnigmaVBUnpacker v0.59 を使った
enig1
バイナリ3つになった(615K -> 223K(DotNetEXE) + 5K(DotNetDLL) + 6K(Win32DLL))

まだ、暗号化掛かってるので、ConfuserEx Unpacker を使う

[!] Anti Tamper Detected
[!] Anti Tamper Removed Successfully
Fixed proxy calls: 471
Decrypted string COR
Decrypted string GetEnvironmentVariable
Decrypted string 1
Decrypted string _ENABLE_PROFILING
Decrypted string Stream cannot seek
Decrypted string Writing is not alowed
Decrypted string Writing is not alowed
Decrypted string Central directory currently does not exist
Decrypted string Stream cannot be written
Decrypted string RemoveEntries is allowed just over streams of type FileStream
Decrypted string
Decrypted string .hed
Decrypted string Can only open header(.hed) file
Decrypted string \
Decrypted string .dat

一部暗号化解除できて199Kのバイナリになったけど逆コンパイルしようとするとところどころ暗号化残ったままになってる ・ω・

enig2
関数名は暗号化掛かってるけど、コードは丸見えになった。ふははは ・ω・
とりあえずこれでミッションコンプリート 

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です