You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

この記事はTSG Advent Calendarの21日目の記事として書かれたものです。 CTFやらでReversingをしていると、いつも見るframe_dummyやinit、本質ではない、的な感じでスルーをしているんですが、それなりに気になるところでもあり、少し深く見てみようかなと思います。 今回は、とりあえず #include <stdio.h> int main(void) { printf("advent calendar 2016\n"); return 0; } このソースコードをコンパイルして、中身を調査していきたいと思います。 $ gcc hello.c -o hello $ uname -a Linux vagrant-ubuntu-trusty-64 3.13.0-101-generic #148-Ubuntu SMP Thu Oct 20 22:08:32 UTC

マルウェア解析に必要な素養～導入編～ ==== :::success 親ページ：[マルウェア解析に必要な素養](https://hackmd.io/s/S1kLEr5x#) ::: まずアセンブリ

Defcon2016のbaby-re、write-upを見ていると、私のように真面目に連立方程式を解いているパターンの他に、angrというフレームワークを使って自動解析して解いているパターンが多く見受けられました。そこで、angrの勉強をしてみました。 angr公式： angr, a binary analysis framework angrインストール方法： https://github.com/angr/angr-doc/blob/master/INSTALL.md □angrとは？ angr is a framework for analyzing binaries. It focuses on both static and dynamic symbolic ("concolic") analysis, making it applicable to a variety of t

はじめに ARM が純正で ARMv8 アーキテクチャのシミュレータを配布していることを知ったので、さっそく動かしてみた。 動作確認環境 Ubuntu 12.04.4 LTS 64bit 版 シミュレータのダウンロード 公式サイト からダウンロードできるが、ユーザ登録が必要。それが済むと、ARM V8 Foundation Platform (Linux) というところに Download ボタンがあるので、そこからダウンロードできる。このときに住所とか入力フォームが出てくるが、必須ではないのでそのまま次に進める。 実行してみる 展開すると Foundation_Platformpkg というディレクトリができる。 内容はこんな感じ $ tree Foundation_Platformpkg ├── doc │   ├── DUI0677E_foundation_platform_ug.p

ARMも64bitが当たり前になりつつある昨今ですが、一般人には動かせる環境が無いです。。 とりあえずですが、2014年6月現在、ARM社からFastModelというシミュレータが落とせるのでLinux-PCをホストとして遊ぶことができます。 いい時代になったもんです。 で、ファーストコンタクトとして、とりあえずの動かし方がなんかわかりにくいのでまとめてみました。 動かすのに必要なもの [ホスト環境] Ubuntu 12.04(64Bit) (ほかのLinuxでもできるかもしれない。64Bitは必須の模様) 入手方法 以下より、ARM V8のファウンデーションモデルを入手します。 http://www.arm.com/ja/products/tools/models/fast-models/foundation-model.php から、「今すぐダウンロード」でダウンロードできます。 (要

スタート低レイヤー#2でid:shinichiro_hさんに全部入りのbinutilsが作れるということを教えて頂きました。 さっそく試してみました。MSYS(MinGW)用のバイナリを置いておきます。 binutils-2.23.2-msys-cross-all.tar.xz (14.6MB) /usr/localに展開するだけで使えます。 $ tar xvf binutils-2.23.2-msys-cross-all.tar.xz -C /usr/local ビルド方法 MSYS(MinGW)では途中でエラーが出ました。調べるのが面倒だったのでNetBSDのMinGWでクロスコンパイルしました。 $ mkdir all $ cd all $ ../binutils-2.23.2/configure --enable-targets=all --enable-64-bit-bfd --

MSYSはWindowsでgccを動かすためのミニマムなUNIX風環境です。最新版のMSYS2はArch Linux由来のpacmanを搭載するなど大幅に使いやすくなっています。 勉強会で一斉にインストールすることを想定して、インストール後の設定について説明します。 ※ 設定は好みが別れる部分もありますが、よく分からない時にとりあえずやっておけば便利だと思われるものを紹介します。 インストール方法 本家に書いてある通りです。 https://msys2.github.io/ 手順5.と6.の環境が大幅に書き換わる場合は close するよう求められます。ターミナル（mintty）をウィンドウ右上の[×]ボタンで閉じて、スタートメニューから MSYS2 Shell を開いて作業を続行します。 【注】ショートカットに登録されているバッチファイルがなくなって MSYS2 Shell が開けなくな

This domain may be for sale!

バイナリ関連の機能を一通り提供するフレームワークradare2，通称r2(d2はない模様)による静的解析をざっくりと紹介する．CLIベースの使い方はいろんなサイトが詳しくやっているから，Visual Modeの使い方を中心に解説する． radare2について radare2について軽く説明する． radare2は64ビットオフセット対応の16進バイナリエディタとして，2006年から開発が始まった．途中でportable reversing frameworkになり，更に，いつの間にかradareからradare2へとバージョンアップしている．経緯は知らない．バイナリエディタとして使われているところを見たこともやったこともない・・・． x86からxtensaなどのマニアックなアーキテクチャまで対応し，基数変換ツール(rax2)やアセンブラ(rasm2)，バイナリ比較プログラム(radiff2

There is no #6 and #7 because I had no my session at that time. #10 and #11 are the same.

スタート低レイヤー#2で発表した資料です。 http://partake.in/events/1bed8969-5bc9-4f02-bc19-2698cb5577a3Read less

これから2回に渡って、ELFの動的リンクについて見ていきます。 ※ 試験的に文中の図はインラインSVGで描いています。（ソース） ELFファイルの中はセクションとセグメントで二重に分割されています。属性が共通するセクションをグループ化したものがセグメントです。セクションはリンカ、セグメントはローダで処理することを想定したブロックです。 ELFファイルの構造 ファイルの先頭にELFヘッダがあり、その直後にセグメントの構造を示したプログラムヘッダがあります。 readelfコマンドでプログラムヘッダを確認します。ここで分析するバイナリは以下のサンプルプログラムの stest/a.out です。 https://bitbucket.org/7shi/elf-dyn ELFファイル ELF header program headers .interp .hash .dynsym .dynstr .

Add new...Clone CompilerExecutor From ThisOptimizationStack UsagePreprocessorASTLLVM IROpt PipelineDeviceRust MIRRust HIRRust Macro ExpansionGHC CoreGHC STGGHC CmmGCC Tree/RTLGNAT Debug TreeGNAT Debug Expanded CodeControl Flow Graph