マルウェアはお決まりのパッキング手法というものがなく、独自の手法でパッキングされていることが多いのでマニュアルアンパッキング技術が必要になります。
こちら⬇の記事でマニュアルアンパッキングの基礎と手法をご紹介しているので、こちらを参考にしながら実際にアンパッキングに挑戦してみましょう。
www.ninjastars-net.com
ここからはアンパッキングしたrun.exeを見ていきます。
このプログラムではKeyを要求する際に入力した文字列を取得している関数が必ず存在するので
Symbol Tree->Imports->MSVCR100.DLLから探してみましょう。
scanf関数があるのでXREF[1]から見ていくと、0x44A792で呼び出されていることがわかりますね。
次に動的解析ツールのOllyDbgを使って0x44A792にブレークポイントを設定していきます。
この処理の周囲(0x44A7E2)にfopen関数があるのでfileを操作しているのであろうことが予想できます。

0x44A870にてgetc関数によりfileのバイナリ列をメモリに展開しています。
getc関数の戻り値はEAXに格納されているので、EAXをいじっている命令を探していきましょう。
すぐ近くの0x44A87Cでの
MOV BYTE PTR DS:[ECX+5415B8],AL
という命令でEAXのデータをECX+5415B8に展開していることがわかります。

ステップ実行すると、fileのバイナリが順に展開されていることがわかると思います。
展開が終了する0x44A897にブレークポイントを設定し、中身をすべて展開してみましょう。
次にメモリ上に展開されているバイナリをいじっている命令を探しにいきます。
0x44A8CF付近にて入力した文字コードとバイナリのXORをとり、
さらに0xFFとXORをとっている命令群があります。
おそらくこの命令群が復号化ルーチンだと予想できます。

上記の処理を行った後にメモリ上のバイナリデータを上書きし、fileに書き込んでいます。

この処理が復号化ルーチンなのかを確かめましょう。
試しに「abcde」を入力してみます。
先ほどの式では以下のように変換されるはずです。

バイナリエディタであるStirlingでfileの中身を確認しましょう。

1バイト目のバイナリが0x40になっているので先ほどの式が復号化ルーチンであることが確認できました。
また、入力した文字は5文字でしたがfileのバイナリ全体が変換されているので
5文字を循環させて復号化していることが想像できます。
5バイト目を計算してみると
「0x0D=0x93 xor 0x61 xor 0xFF」であることがわかります。
これで循環していることが確認できました。
次に何文字で復号できるのかを見つけていきましょう。
前提条件としてfileをPE形式の実行ファイルにしなければいけません。
そのために適当な実行ファイルをStirlingで確認しましょう。

PE形式の実行ファイルには最初の一行は必要ですので、
そこを揃えることを考えます。
入力すべき文字は次の式で求めることができます。

これで16文字求めると
「letsplaychesslet」となりますが、「let」という文字列が2回登場しているので
「letsplaychess」だけでいいことがわかります。
これをKeyに入力しましょう。

するとついにPE形式の実行ファイルにすることができました！
file.exeにリネームして実行してみましょう。

見事フラグを出すことに成功しましたね！お疲れ様でした！
本記事で学んだ技術、知識をさらなる学びの足がかりにしていただければ幸いです。
それではまた次回！