概要
TryHackMe「Basic Malware RE」のWalkthroughです。
Task2
Q1.What is the flag of which that MD5 gets generated?
ファイル形式を調べると、実行ファイルだと分かりました。
$ file strings1.exe_
strings1.exe_: PE32 executable (GUI) Intel 80386, for MS Windows, 6 sections
ファイル内の文字列を見ると、FLAG{}が沢山見つかります。
$ strings strings1.exe_
(省略)
FLAG{THE-DEPICTED-THE-IMPORTANT-THE}
FLAG{INCLUDES-COLLECTIVE-AND-SOCIALIST-INQUIRY}
FLAG{LAW-IDEOLOGICAL-INTO-THE-THE}
FLAG{COMPETENCE-ISSUE-PERSONAL-THE-LAW}
FLAG{MATTERS-POLITICAL-DETERMINATION-ITS-SOCIALIST}
Ghidraでentry関数を見ると、フラグ文字列を発見しました。
entry関数で発見したフラグ文字列を、実行ファイル内のフラグ文字列から検索します。
フラグを得られました。
$ strings strings1.exe_ | grep FLAG{CAN-I-
FLAG{CAN-I-MAKE-IT-ANYMORE-OBVIOUS}
A.FLAG{CAN-I-MAKE-IT-ANYMORE-OBVIOUS}
Task3
Q1.What is the flag of which that MD5 gets generated?
ファイル形式を調べると、実行ファイルだと分かりました。
$ file strings2.exe_
strings2.exe_: PE32 executable (GUI) Intel 80386, for MS Windows, 6 sections
entry関数を見ると、フラグを得られました。
A.FLAG{STACK-STRINGS-ARE-BEST-STRINGS}
Task4
Q1.What is the flag of which that MD5 gets generated?
ファイル形式を調べると、実行ファイルだと分かりました。
$ file strings3.exe_
strings3.exe_: PE32 executable (GUI) Intel 80386, for MS Windows, 5 sections
entry関数を見ます。
プログラム中の各関数を見ていくと、LoadStringA関数でフラグ文字列を発見しました。
フラグ文字列を検索すると、正解のフラグを発見しました。
A.FLAG{RESOURCES-ARE-POPULAR-FOR-MALWARE}