PEフォーマットを解釈せよ!
コンピュータウイルスの解析などに欠かせないリバースエンジニアリング技術ですが、何だか難しそうだな、という印象を抱いている人も多いのではないでしょうか。この連載では、「シェルコード」を例に、実践形式でその基礎を紹介していきます。(編集部) Windows APIの呼び出し方法に迫れ! 第4回「Undocumentedなデータ構造体を知る」に引き続き、今回もシェルコードがWindowsのAPIを呼び出す方法について迫っていきたいと思います。 シェルコードでは、自由にAPIを呼び出すために以下の3ステップの処理を実行します。 kernel32.dllのベースアドレスを取得する (kernel32.dllがエクスポートしている)LoadLibrary関数とGetProcAddress関数のアドレスを取得する LoadLibrary関数とGetProcAddress関数を利用して任意のAPIを呼び出
コンパイル済みの exe や dll からソースコードを生成する - Microsoft.NET - Project Group
コンパイル済みの exe や dll からソースコードを生成する方法です。 昔は無償だった .NET Refrector という製品が有名ですが今は有償の製品になっています。 .NET Refrector だと Visual Studio に統合して使用することができ、その情報を元にデバッグまでできるようですが、 今回はフリーソフトを使って中を見てみる程度のことを試してみたいと思います。 【ILSpy】 まずは「ILSpy」というソフトを試してみます。 ILSpyのサイトへアクセスします。 ILSpy http://ilspy.net/ 今回は現時点で最新の Version 2.3 をクリックします。 クリックで拡大 画面下部の Downloads のリストにある「ILSpy_Master_2.3.0.1827_Binaries.zip」をクリックしてダウンロードします。 ※表記はバージョ
Winitor
Malware Initial Assessment The goal of pestudio is to spot artifacts of executable files in order to ease and accelerate Malware Initial Assessment. The tool is used by Computer Emergency Response Teams (CERT), Security Operations Centers (SOC) and Digital-Forensic Labs worldwide. The development of the tool started in 2009 and is regularly updated. The following slides provide an overview of the
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
実行ファイルを静的解析するツール「PeStudio」NOT SUPPORTED
