Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
nullcon_battleunderground_2013_re_2 [2013/03/02 17:24] Xartrick |
nullcon_battleunderground_2013_re_2 [2017/04/09 15:33] (Version actuelle) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== RE: Question 2 ====== | ====== RE: Question 2 ====== | ||
- | <code>Look deep. [[https://s3.amazonaws.com/Nullcon/2013/BU/RE/02.zip|Sample]]</code> | + | <code>Look deep.</code> |
+ | |||
+ | [[https://s3.amazonaws.com/Nullcon/2013/BU/RE/02.zip|Sample]] | ||
Nous nous trouvons face à un exécutable Windows x86. | Nous nous trouvons face à un exécutable Windows x86. | ||
- | PROTECTiON iD nous donne la détection suivante: | + | [[http://pid.gamecopyworld.com|PROTECTiON iD]] nous donne la détection suivante: |
<code>Scanning -> D:\nullcon\re\2\2.exe | <code>Scanning -> D:\nullcon\re\2\2.exe | ||
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 276897 (0439A1h) Byte(s) | File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 276897 (0439A1h) Byte(s) | ||
Ligne 13: | Ligne 15: | ||
[!] UPX 3.08 compressed !</code> | [!] UPX 3.08 compressed !</code> | ||
- | Décompressez simplement à l'aide d'UPX: | + | Décompressez simplement à l'aide d'[[http://upx.sourceforge.net/|UPX]]: |
<code>upx -d 2.exe</code> | <code>upx -d 2.exe</code> | ||
- | [[http://pid.gamecopyworld.com|PROTECTiON iD]] nous dit également qu'il existe des données à la fin du fichier (EOF Data). | + | PROTECTiON iD nous dit également qu'il existe des données à la fin du fichier (EOF Data). |
Allons voir ça de plus près: | Allons voir ça de plus près: | ||
<code>AU3!EA</code> | <code>AU3!EA</code> |