Delphi製のバイナリを解析する方法
方法という程さしたる事は書かないが。
基礎知識としてC++ BuilderとかDelphiなど旧ボーランド製のコンパイラで生成されるバイナリはわりと独特の、というかWindowsの.resではない独自のフォームのフォーマットを持っていて、あとクラスとかも丸見えになるのかな、自分は詳しくはないのだが、ともかくちょっと独特なので、そいつを効率よくデコンパイルするソフトがあって、そういった物を逆に解析の大きな糸口にできる。
Analysis of a Win32.Delf Variant - Security Labs Blog
(日本語:世界のセキュリティ・ラボから - Win32 Delfの亜種の解析:ITpro)
そうだ思い出した。DeDeだ。あとDE Decompilerとかいうのもあるらしい。
記事によると、DeDeのほうが主に使われているらしい。手元の解析しようとしたバイナリもDE Decompilerではなんかエラー吐いた。
DE Decompilerのほうが完全にデコンパイルを志してるのかな?
DeDeは落とすにはここから:Download DeDe 3.50.02 Build 1619
DeDeのprojectタブを使うと、ディスアセンブルされたx86のコードをコメントでくくっただけのpasとデコンパイルされたdfmをファイルに落とせる。
x86はなんとなく読めるし、dfmは可読性も高く便利なエディタもある。(まあ.rcみたいなもんだし)
Download DFM Editor 5.3.0
関係ないけど上のITProの記事の、Delphi製ウイルスという奴、なんとなくHSP製ウイルスとかを彷彿とさせる物があって可笑しい。Gmailのパスワード込みのバイナリってまるでどこぞの株式会社ロマンシングみたいではないか。(あっちはC#だったっけ)
それとも実はマルウエアってみんなそんな物なのか。