Outils d'utilisateurs
nullcon_battleunderground_2013_re_2
RE: Question 2
Look deep.
Nous nous trouvons face à un exécutable Windows x86.
PROTECTiON iD nous donne la détection suivante:
Scanning -> D:\nullcon\re\2\2.exe File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 276897 (0439A1h) Byte(s) [x] Warning - FileAlignment seems wrong.. is 0x00000200, calculated 0x00000400 -> File has 417 (01A1h) bytes of appended data starting at offset 043800h [File Heuristics] -> Flag : 00000000000000001100001000100111 (0x0000C227) [!] UPX 3.08 compressed !
Décompressez simplement à l'aide d'UPX:
upx -d 2.exe
PROTECTiON iD nous dit également qu'il existe des données à la fin du fichier (EOF Data). Allons voir ça de plus près:
AU3!EA
Ceci est l'entête d'un script AutoIt. Pour l'extraire, utiliser myAutToExe.
$KEY = "ZjlmMGMyOTZmYzA5OTNlNDMwMDkwYjY5NWI2M2ZhYTQ=" MsgBox(64, "[MSG]", "Much simpler than that")
base64_decode('ZjlmMGMyOTZmYzA5OTNlNDMwMDkwYjY5NWI2M2ZhYTQ=') = 'f9f0c296fc0993e430090b695b63faa4'
Flag: f9f0c296fc0993e430090b695b63faa4
nullcon_battleunderground_2013_re_2.txt · Dernière modification: 2017/04/09 15:33 (modification externe)
Sauf mention contraire, le contenu de ce wiki est placé sous la licence suivante : CC Attribution-Share Alike 3.0 Unported
