Room Basic Malware RE : https://tryhackme.com/room/basicmalwarere
Tools : IDA, Resource Hacker | OS : Kali Linux 2021.2
Untuk mengerjakan Room ini, pastikan bahwa IDA telah diinstal untuk melakukan analisa Untuk mengunduh aplikasi IDA, silahkan unduh melalui link berikut: Download IDA Free
Untuk mengunduh Resource Hacker, silahkan unduh di Download Resource Hacker
Task 2 – String :: Challenge 1
Pada task tersebut diberikan sebuah Task Files yang bernama string1.zip.
Silahkan ekstrak file zip tersebut dengan password MalwareTech.
Akan muncul file yang bernama string1.exe_. Rename file tersebut sehingga menjadi string1.exe agar file tersebut terbaca oleh aplikasi IDA nantinya.
Semuanya siap, saatnya membuka aplikasi IDA. Silahkan buka aplikasi IDA. Kemudian klik New.
Kemudian pilih file string1.exe tadi kemudian klik Open.
Akan muncul tampilan berikut. Silahkan klik OK untuk melanjutkan.
Akan muncul tampilan berikut. Terlihat bahwa ada flag tersebut.
Kemudian akan saya coba masukkan di kolom jawaban di TryHackMe.
Terlihat flag yang bernama FLAG{CAN-*-MAKE-**-*******-*******}
Dan ternyata, itulah flag yang merupakan jawaban untuk Task 2. Kemudian kita akan melanjutkan ke Task 3.
FLAG{CAN-*-MAKE-**-*******-*******}
Task 3 – String :: Challenge 2
Lakukan seperti Task yang kedua, ekstrak task file yang diberikan kemudian ubah format file menjadi exe.
Kemudian buka file string2.exe tersebut menggunakan aplikasi IDA.
Disini terlihat bahwa tidak adanya flag yang terpampang jelas untuk langsung dijadikan jawaban.
Namun melihat struktur aplikasi tersebut di bagian bawah, flag tersebut terlihat terpisah baris per baris.
Terlihat bahwa aplikasi memberikan nilai hex value sesuai dengan huruf yang diberikan oleh nilai hex. Sehingga jawaban telah diketahui, dan saya melakukan pengetikan manual untuk hal ini.
Dan itu merupakan jawaban untuk Task 3. Kita akan melanjutkan ke Task 4.
Task 4 – String :: Challenge 3
Silahkan lakukan hal awal agar Task File yang diberikan dapat diakses oleh aplikasi IDA.
Tldr: Ekstrak file zip dengan password MalwareTech, kemudian ubah format file menjadi exe.
Kemudian kita mengakses file strings3.exe menggunakan aplikasi IDA.
Terlihat bahwa untuk task kali ini membutuhkan cukup effort, dikarenakan tidak adanya flag yang terlihat secara langsung.
Perbedaan yang terdapat pada string3.exe ini adalah adanya fungsi yang dipanggil pada exe tersebut, yakni FindResourceA dan LoadStringA. Fungsi ini merupakan fungsi aplikasi yang terdapat pada aplikasi Win32, dengan penjelasan singkat sebagai berikut:
- FindResourceA digunakan untuk menentukan lokasi resource dengan nama dan tipe dalam modul yang ditentukan.
- LoadStringA digunakan untuk memuat sumber daya string dari file yang dapat dieksekusi yang terkait dengan module tertentu.
Dari dokumentasi yang diberikan dari Microsoft, kita dapat mencari uID yang ditentukan dan dihitung dari module FindResourceA dari baris berikut:
Dan kita akan menghitung uID tersebut. Dipastikan untuk belajar bahasa assembly serta fungsi-fungsinya. Namun untuk singkatnya, yang dilakukan oleh baris-baris berikut adalah sebagai berikut:
- mov eax,1 ; eax = 1
- shl eax,8 ; bit eax bergeser 8 kali, 2^8 = 256
- xor edx,edx ; edx = 0
- inc edx ; edx naik bit satu kali, edx = 1
- shl edx,4 ; bit edx bergeser 4 kali, 2^4 = 16
- or eax, edx ; or dalam logika artinya bertambah. Jadi eax + edx = 256 + 16 = 272
- mov [ebp+uID], eax ; 272 dipindahkan ke uID.
Jadi uID dari baris-baris tersebut adalah 272. Jadi apakah isi dari string uID 272 tersebut?
Disini saya menggunakan aplikasi lainnya yang bernama Resource Hacker.
Terlihat bahwa gambar diatas menggunakan aplikasi Resource Hacker, menampilkan beberapa string dengan flag dengan uID yang ada.
Disini kita mencari string uID 272, cari lagi lebih dalam, maka ditemukan bahwa uID 272 tersebut.
Kemudian flag tersebut dimasukkan ke dalam jawaban TryHackMe challenge 3.
FLAG{*********-ARE-*******-FOR-MALWARE}
Maka room Basic Malware RE telah selesai dikerjakan.
Belum ada tanggapan untuk "TryHackMe Writeup - Basic Malware RE (Indonesia)"
Posting Komentar
Komentar dengan link aktif akan dimatikan.
Bertanya dan berkomentarlah secara baik dan sopan.