Sample Files

Zur Untersuchtung steht das Asservat mit der folgenden SHA-256 Prüfsumme: ``` 4029f9fcba1c53d86f2c59f07d5657930bd5ee64cca4c5929cbd3142484e815a ``` In diesem Sample kommen mehrere Anti-Analyse-Techniken zum Einsatz: * String Obfuscation * Code-Level Obfuscation wie Junk Code und Opqaue Predicates * API Hashing Die Aufgabe ist, die API Hashing Funktion zu identifizieren und zu analysieren. Falls du es gar nicht finden kannst, kannst du ihre Adresse unter Tipps nachsehen. Das Ziel ist wieder, ein Enum in Ghidra zur Verfügung zu haben. Das Tooling aus der vorherigen Aufgabe ist dafür sehr nützlich. Tipps: * Man kann Speicherbereiche als "constant" markieren (rechtsklick -> Data -> Settings oder Ctrl-D unter "Mutability"). Dies ermöglicht Ghidra, bestimmte Optimierungen auf arithmetischen Operationen durchzuführen, was den Code lesbarer macht. * Der "Edit Function" Dialog ermöglicht es, Funktionen als "In Line" zu markieren. Anstatt eines Funktionsaufrufs wird dann der "Inhalt" der Funktion angezeigt. Verwende diese Funktion sparsam. * *Spoiler:* Die API Hashing Funktion ist an Adresse `0x2f7fd1a + 0x123456`.