hiziriAI https://blog.hatena.ne.jp/hiziriAI/ fr33f0r4ll https://hiziriai.hatenablog.com/ malware perl 自分用にメモ。 ちょっと前に立てたハニポが好評らしく、検体がそこそこ集まっているなか、1つだけ難読化もどきがされているものがあったので調べてみた。 検体のハッシュ値 SHA256: a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b MD5: 331bafbf48e1ece5134bc42f4a9bd2be パッと見だとeval unpackの後に適当な文字列がならんでいたので、これは展開して実行するんだなと思いながら検索していると、どうもPerlの関数らしいということが分かった。 そこで、eval -> print… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhiziriai.hatenablog.com%2Fentry%2F2018%2F11%2F21%2F231159" title="Perlマルウェア解析メモ - fr33f0r4ll" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2018-11-21 23:11:59 rich https://hiziriai.hatenablog.com/entry/2018/11/21/231159 1.0 100%