DecrottePE compatible chinese style.

Bon tant que j’y était, histoire de plus perdre de temps avec certains packer à deux balles ou des dumps encrypté à la chinoise (Xor de base ou Xor shifté).

Voici une version de «decrottePE.py» qui bruteforce; C’est pas joli, mais ce qu’il y a trouver est pas non plus joli-joli !

Exemple , j’encrypte à la chinoise un PE avec un xor shifté et la clef 0x42 (évidemment la fameuse solution universelle).

Je cache mon PE xoré au millieu d’un champ de random.

Bon… c’est le plus chiant qu’il soit possible d’extraire avec ce truc, lançons le décrotteur et allons lire un livre.

Bingo… et le fichier est en état.

Amis du XOR, merci de passer a RC4…

 

This entry was posted in Crypto, Malware, Reverse and tagged , , . Bookmark the permalink.

One Response to DecrottePE compatible chinese style.

  1. Pingback: Outils, services, sites à (re)découvrir 2015 S05 | La Mare du Gof

Leave a Reply

Your email address will not be published. Required fields are marked *

Please Do the Math