Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
nullcon_battleunderground_2013_re_2 [2013/03/02 17:20] Xartrick créée |
nullcon_battleunderground_2013_re_2 [2017/04/09 15:33] (Version actuelle) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== RE: Question 2 ====== | ====== RE: Question 2 ====== | ||
- | <code>Look deep. https://s3.amazonaws.com/Nullcon/2013/BU/RE/02.zip</code> | + | <code>Look deep.</code> |
+ | |||
+ | [[https://s3.amazonaws.com/Nullcon/2013/BU/RE/02.zip|Sample]] | ||
Nous nous trouvons face à un exécutable Windows x86. | Nous nous trouvons face à un exécutable Windows x86. | ||
- | PROTECTiON iD nous donne la détection suivante: | + | [[http://pid.gamecopyworld.com|PROTECTiON iD]] nous donne la détection suivante: |
<code>Scanning -> D:\nullcon\re\2\2.exe | <code>Scanning -> D:\nullcon\re\2\2.exe | ||
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 276897 (0439A1h) Byte(s) | File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 276897 (0439A1h) Byte(s) | ||
Ligne 13: | Ligne 15: | ||
[!] UPX 3.08 compressed !</code> | [!] UPX 3.08 compressed !</code> | ||
- | Décompressez simplement à l'aide d'UPX: | + | Décompressez simplement à l'aide d'[[http://upx.sourceforge.net/|UPX]]: |
<code>upx -d 2.exe</code> | <code>upx -d 2.exe</code> | ||
Ligne 21: | Ligne 23: | ||
Ceci est l'entête d'un script AutoIt. | Ceci est l'entête d'un script AutoIt. | ||
- | Pour l'extraire, utiliser myAutToExe. | + | Pour l'extraire, utiliser [[http://deioncube.in/files/MyAutToExe/index.html|myAutToExe]]. |
<code AutoIt>$KEY = "ZjlmMGMyOTZmYzA5OTNlNDMwMDkwYjY5NWI2M2ZhYTQ=" | <code AutoIt>$KEY = "ZjlmMGMyOTZmYzA5OTNlNDMwMDkwYjY5NWI2M2ZhYTQ=" | ||
MsgBox(64, "[MSG]", "Much simpler than that")</code> | MsgBox(64, "[MSG]", "Much simpler than that")</code> |