FLOSS : trouver des chaines de caractères cachées dans un exécutable

Pour trouver des chaines de caractères cachées dans un exécutable (obfusquées) on peut espérer que les auteurs du binaire ont utilisé un simple XOR et compter sur les outils XORsearch / XORstrings de Didier Stevens.

Mais pour des stackstrings (chaines écrites octet par octet en mémoire) ou des astuces encore plus farfelues il n’y avait pas de solution miracle jusqu’à l’arrivée de FireEye Labs Obfuscated String Solver (FLOSS).

Cet outil pousse le bouchon plus loin (n’est-ce pas Maurice!) en désassemblant et émulant le programme.
C’est écrit en Python mais un exe Windows existe pour les feignasses et le tout est dispo sur Github.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *