====== RE: Question 2 ======

<code>Look deep.</code>

[[https://s3.amazonaws.com/Nullcon/2013/BU/RE/02.zip|Sample]]

Nous nous trouvons face à un exécutable Windows x86.

[[http://pid.gamecopyworld.com|PROTECTiON iD]] nous donne la détection suivante:
<code>Scanning -> D:\nullcon\re\2\2.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 276897 (0439A1h) Byte(s)
[x] Warning - FileAlignment seems wrong.. is 0x00000200, calculated 0x00000400
-> File has 417 (01A1h) bytes of appended data starting at offset 043800h
[File Heuristics] -> Flag : 00000000000000001100001000100111 (0x0000C227)
[!] UPX 3.08 compressed !</code>

Décompressez simplement à l'aide d'[[http://upx.sourceforge.net/|UPX]]:
<code>upx -d 2.exe</code>

PROTECTiON iD nous dit également qu'il existe des données à la fin du fichier (EOF Data).
Allons voir ça de plus près:
<code>AU3!EA</code>

Ceci est l'entête d'un script AutoIt.
Pour l'extraire, utiliser [[http://deioncube.in/files/MyAutToExe/index.html|myAutToExe]].
<code AutoIt>$KEY = "ZjlmMGMyOTZmYzA5OTNlNDMwMDkwYjY5NWI2M2ZhYTQ="
MsgBox(64, "[MSG]", "Much simpler than that")</code>

<code>base64_decode('ZjlmMGMyOTZmYzA5OTNlNDMwMDkwYjY5NWI2M2ZhYTQ=') = 'f9f0c296fc0993e430090b695b63faa4'</code>
<code>Flag: f9f0c296fc0993e430090b695b63faa4</code>