エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
『Ghidraのコード再解析機能と真のルート発見の例』
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
『Ghidraのコード再解析機能と真のルート発見の例』
reverse-eg-mal-memoのブログサイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存... reverse-eg-mal-memoのブログサイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。 medium(英語):https://sachiel-archangel.medium.com/ 例に挙げていたUrsnifは、実際は色々な解析回避技法を用いています。 そのうちの一つとして、静的解析を妨害する意図がありそうな部分と、その妨害を回避する例を挙げておきます。 (本人が、細かい操作方法をいちいち忘れるんだよなー・・・(--; ) 下図は、初期化処理が終わり、いわゆる「WinMain」に入ってちょっと進んだところです。 HLT命令があり、その後が??となって未解析になっています。 HLT命令って、あんまり使ったことも見たこともないな・・・。調べてみると、「CPUを停止状態にする」という特権命令。カーネルモード(リング0)じゃないとちゃんと動かないのでは・・・。