某ソフトの難読化解析をしてみた
難読化がかかった某バイナリの解読をツール使ってやってみた。
まず、 .enigma1 / .enigma2 セクションがあるので Enigma Virtual Box で圧縮されてると思われるので、これを解凍
EnigmaVBUnpacker v0.59 を使った
バイナリ3つになった(615K -> 223K(DotNetEXE) + 5K(DotNetDLL) + 6K(Win32DLL))
まだ、暗号化掛かってるので、ConfuserEx Unpacker を使う
[!] Anti Tamper Detected [!] Anti Tamper Removed Successfully Fixed proxy calls: 471 Decrypted string COR Decrypted string GetEnvironmentVariable Decrypted string 1 Decrypted string _ENABLE_PROFILING Decrypted string Stream cannot seek Decrypted string Writing is not alowed Decrypted string Writing is not alowed Decrypted string Central directory currently does not exist Decrypted string Stream cannot be written Decrypted string RemoveEntries is allowed just over streams of type FileStream Decrypted string Decrypted string .hed Decrypted string Can only open header(.hed) file Decrypted string \ Decrypted string .dat |
一部暗号化解除できて199Kのバイナリになったけど逆コンパイルしようとするとところどころ暗号化残ったままになってる ・ω・
関数名は暗号化掛かってるけど、コードは丸見えになった。ふははは ・ω・
とりあえずこれでミッションコンプリート
Comments