Три уровня защиты в одном бинаре: TLS callback с IsDebuggerPresent, CPUID-запрос на гипервизор, кастомный XOR с динамическим ключом. Ручной разбор в Ghidra — от получаса. angr-скрипт на 15 строк — секунды.Разница между «два таска за восемь часов» и...
Malware Analysis для CTF: anti-debug, anti-VM, кастомные шифры и автоматизация с angr и Frida
Источник: codeby.net