DEP Bypass by VirtualProtect I re-visisted this topic and found the bypass is much easier than I have thought. A case where VirtualProtect is present Assuming we have a piece of x86-32bit code which calls VirtualProtect on a program with a…

emotet loaderのRC4 最近emotetがまた流行っているらしいので、昨年流行したemotet(解析したのは今年の初め)との違いを見てみる 今回はLoader周りの記述のみ簡単に解説 前回を簡単におさらいすると、 外側のPEから.dataセクションに存在したPE loaderとPEが…

3月からお仕事でmalware解析やるので、役立ちそうなbinary解析ツールを作っている。 その中で、objtestというコマンドが割と自分の中でいいものができたなっという気がするので、 簡単に紹介。 qemuやllvmなど、大きなプロジェクトのソースを読む場合って、…

年明けてから、ふとした思い付きで、call graph生成ツール(https://github.com/Hiroshi123/bin_tools)を作っている。 目的としては、windowsとmacのsourceのないdllを効率良く理解することを目的としている。 現状はelf向けのもの(中途)のみできてる。 で、…