Исходные файлы для блокнота находятся по ссылке.
Скачиваем весь архив с файлами для работы в Colab:
!wget https://dfedorov.spb.ru/infosec/re/samples.zip
--2022-11-27 09:42:22-- https://dfedorov.spb.ru/infosec/re/samples.zip Resolving dfedorov.spb.ru (dfedorov.spb.ru)... 92.53.96.244, 2a03:6f00:1::5c35:60f4 Connecting to dfedorov.spb.ru (dfedorov.spb.ru)|92.53.96.244|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 11921 (12K) [application/zip] Saving to: ‘samples.zip’ samples.zip 100%[===================>] 11.64K --.-KB/s in 0s 2022-11-27 09:42:23 (128 MB/s) - ‘samples.zip’ saved [11921/11921]
!unzip samples.zip
Archive: samples.zip creating: samples/ extracting: samples/v_01.txt inflating: samples/main_03.c inflating: samples/main_01.c inflating: samples/task-1.exe inflating: samples/test_01 inflating: samples/main_02.c inflating: samples/all_hashes.txt inflating: samples/test inflating: samples/Makefile inflating: samples/test_02 inflating: samples/test_03
!ls samples
all_hashes.txt main_02.c Makefile test test_02 v_01.txt main_01.c main_03.c task-1.exe test_01 test_03
В системах GNU/Linux, чтобы найти сигнатуру файла (уникальная последовательность байтов), можно использовать команду xxd, которая генерирует шестнадцатеричный дамп файла, как показано ниже:
!xxd samples/task-1.exe
00000000: 4d5a 9000 0300 0000 0400 0000 ffff 0000 MZ.............. 00000010: b800 0000 0000 0000 4000 0000 0000 0000 ........@....... 00000020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000030: 0000 0000 0000 0000 0000 0000 d000 0000 ................ 00000040: 0e1f ba0e 00b4 09cd 21b8 014c cd21 5468 ........!..L.!Th 00000050: 6973 2070 726f 6772 616d 2063 616e 6e6f is program canno 00000060: 7420 6265 2072 756e 2069 6e20 444f 5320 t be run in DOS 00000070: 6d6f 6465 2e0d 0d0a 2400 0000 0000 0000 mode....$....... 00000080: b94b 04c7 fd2a 6a94 fd2a 6a94 fd2a 6a94 .K...*j..*j..*j. 00000090: a642 6b95 fe2a 6a94 fd2a 6b94 ff2a 6a94 .Bk..*j..*k..*j. 000000a0: fc47 6995 fc2a 6a94 fc47 6895 fc2a 6a94 .Gi..*j..Gh..*j. 000000b0: 5269 6368 fd2a 6a94 0000 0000 0000 0000 Rich.*j......... 000000c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000000d0: 5045 0000 4c01 0400 bbe2 835d 0000 0000 PE..L......].... 000000e0: 0000 0000 e000 0201 0b01 0e16 0002 0000 ................ 000000f0: 0006 0000 0000 0000 0010 0000 0010 0000 ................ 00000100: 0020 0000 0000 4000 0010 0000 0002 0000 . ....@......... 00000110: 0600 0000 0000 0000 0600 0000 0000 0000 ................ 00000120: 0050 0000 0004 0000 0000 0000 0200 4081 .P............@. 00000130: 0000 1000 0010 0000 0000 1000 0010 0000 ................ 00000140: 0000 0000 1000 0000 0000 0000 0000 0000 ................ 00000150: e020 0000 2800 0000 0000 0000 0000 0000 . ..(........... 00000160: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000170: 0040 0000 1000 0000 1020 0000 1c00 0000 .@....... ...... 00000180: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000190: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000001a0: 0000 0000 0000 0000 0020 0000 1000 0000 ......... ...... 000001b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000001c0: 0000 0000 0000 0000 2e74 6578 7400 0000 .........text... 000001d0: 1f00 0000 0010 0000 0002 0000 0004 0000 ................ 000001e0: 0000 0000 0000 0000 0000 0000 2000 0060 ............ ..` 000001f0: 2e72 6461 7461 0000 3a01 0000 0020 0000 .rdata..:.... .. 00000200: 0002 0000 0006 0000 0000 0000 0000 0000 ................ 00000210: 0000 0000 4000 0040 2e64 6174 6100 0000 ....@..@.data... 00000220: 0500 0000 0030 0000 0002 0000 0008 0000 .....0.......... 00000230: 0000 0000 0000 0000 0000 0000 4000 00c0 ............@... 00000240: 2e72 656c 6f63 0000 1000 0000 0040 0000 .reloc.......@.. 00000250: 0002 0000 000a 0000 0000 0000 0000 0000 ................ 00000260: 0000 0000 4000 0042 0000 0000 0000 0000 ....@..B........ 00000270: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000280: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000290: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000300: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000310: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000320: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000330: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000340: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000350: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000360: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000370: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000380: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000390: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000003a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000003b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000003c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000003d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000003e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000003f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000400: 6a01 6800 3040 00e8 0d00 0000 6a00 e800 j.h.0@......j... 00000410: 0000 00ff 2504 2040 00ff 2500 2040 0000 ....%. @..%. @.. 00000420: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000430: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000440: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000450: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000460: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000470: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000480: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000490: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000004a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000004b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000004c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000004d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000004e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000004f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000500: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000510: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000520: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000530: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000540: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000550: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000560: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000570: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000580: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000590: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000005a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000005b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000005c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000005d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000005e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000005f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000600: 2221 0000 1421 0000 0000 0000 0000 0000 "!...!.......... 00000610: 0000 0000 bbe2 835d 0000 0000 0d00 0000 .......]........ 00000620: b400 0000 2c20 0000 2c06 0000 0000 0000 ...., ..,....... 00000630: 0010 0000 1f00 0000 2e74 6578 7424 6d6e .........text$mn 00000640: 0000 0000 0020 0000 1000 0000 2e69 6461 ..... .......ida 00000650: 7461 2435 0000 0000 1020 0000 1c00 0000 ta$5..... ...... 00000660: 2e72 6461 7461 0000 2c20 0000 b400 0000 .rdata.., ...... 00000670: 2e72 6461 7461 247a 7a7a 6462 6700 0000 .rdata$zzzdbg... 00000680: e020 0000 1400 0000 2e69 6461 7461 2432 . .......idata$2 00000690: 0000 0000 f420 0000 1400 0000 2e69 6461 ..... .......ida 000006a0: 7461 2433 0000 0000 0821 0000 0c00 0000 ta$3.....!...... 000006b0: 2e69 6461 7461 2434 0000 0000 1421 0000 .idata$4.....!.. 000006c0: 2600 0000 2e69 6461 7461 2436 0000 0000 &....idata$6.... 000006d0: 0030 0000 0500 0000 2e64 6174 6100 0000 .0.......data... 000006e0: 0821 0000 0000 0000 0000 0000 2c21 0000 .!..........,!.. 000006f0: 0020 0000 0000 0000 0000 0000 0000 0000 . .............. 00000700: 0000 0000 0000 0000 2221 0000 1421 0000 ........"!...!.. 00000710: 0000 0000 5e01 4578 6974 5072 6f63 6573 ....^.ExitProces 00000720: 7300 ff05 5769 6e45 7865 6300 4b45 524e s...WinExec.KERN 00000730: 454c 3332 2e64 6c6c 0000 0000 0000 0000 EL32.dll........ 00000740: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000750: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000760: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000770: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000780: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000790: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000007a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000007b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000007c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000007d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000007e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000007f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000800: 6361 6c63 0000 0000 0000 0000 0000 0000 calc............ 00000810: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000820: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000830: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000840: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000850: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000860: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000870: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000880: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000890: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000900: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000910: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000920: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000930: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000940: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000950: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000960: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000970: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000980: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000990: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a00: 0010 0000 1000 0000 0330 1530 1b30 0000 .........0.0.0.. 00000a10: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a20: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a30: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a40: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a50: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a60: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a70: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a90: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000aa0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ab0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ac0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ad0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ae0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000af0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b00: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b10: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b20: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b30: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b40: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b50: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b60: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b70: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b90: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ba0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bb0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bc0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bd0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000be0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bf0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
Видим, что исполняемые файлы ОС Windows, также называемые PE-файлами (например, .exe, .dll, .com, .drv, .sys и т. д.), имеют подпись файла MZ
или шестнадцатеричные символы 4D 5A
в первых двух байтах файла.
Выполним команду для ELF-файла (подпись файла ELF
):
!xxd samples/test_01
00000000: 7f45 4c46 0201 0100 0000 0000 0000 0000 .ELF............ 00000010: 0300 3e00 0100 0000 8005 0000 0000 0000 ..>............. 00000020: 4000 0000 0000 0000 001a 0000 0000 0000 @............... 00000030: 0000 0000 4000 3800 0900 4000 1f00 1e00 ....@.8...@..... 00000040: 0600 0000 0500 0000 4000 0000 0000 0000 ........@....... 00000050: 4000 0000 0000 0000 4000 0000 0000 0000 @.......@....... 00000060: f801 0000 0000 0000 f801 0000 0000 0000 ................ 00000070: 0800 0000 0000 0000 0300 0000 0400 0000 ................ 00000080: 3802 0000 0000 0000 3802 0000 0000 0000 8.......8....... 00000090: 3802 0000 0000 0000 1c00 0000 0000 0000 8............... 000000a0: 1c00 0000 0000 0000 0100 0000 0000 0000 ................ 000000b0: 0100 0000 0500 0000 0000 0000 0000 0000 ................ 000000c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000000d0: ac08 0000 0000 0000 ac08 0000 0000 0000 ................ 000000e0: 0000 2000 0000 0000 0100 0000 0600 0000 .. ............. 000000f0: d80d 0000 0000 0000 d80d 2000 0000 0000 .......... ..... 00000100: d80d 2000 0000 0000 5802 0000 0000 0000 .. .....X....... 00000110: 6002 0000 0000 0000 0000 2000 0000 0000 `......... ..... 00000120: 0200 0000 0600 0000 f00d 0000 0000 0000 ................ 00000130: f00d 2000 0000 0000 f00d 2000 0000 0000 .. ....... ..... 00000140: e001 0000 0000 0000 e001 0000 0000 0000 ................ 00000150: 0800 0000 0000 0000 0400 0000 0400 0000 ................ 00000160: 5402 0000 0000 0000 5402 0000 0000 0000 T.......T....... 00000170: 5402 0000 0000 0000 4400 0000 0000 0000 T.......D....... 00000180: 4400 0000 0000 0000 0400 0000 0000 0000 D............... 00000190: 50e5 7464 0400 0000 6407 0000 0000 0000 P.td....d....... 000001a0: 6407 0000 0000 0000 6407 0000 0000 0000 d.......d....... 000001b0: 3c00 0000 0000 0000 3c00 0000 0000 0000 <.......<....... 000001c0: 0400 0000 0000 0000 51e5 7464 0600 0000 ........Q.td.... 000001d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000001e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000001f0: 0000 0000 0000 0000 1000 0000 0000 0000 ................ 00000200: 52e5 7464 0400 0000 d80d 0000 0000 0000 R.td............ 00000210: d80d 2000 0000 0000 d80d 2000 0000 0000 .. ....... ..... 00000220: 2802 0000 0000 0000 2802 0000 0000 0000 (.......(....... 00000230: 0100 0000 0000 0000 2f6c 6962 3634 2f6c ......../lib64/l 00000240: 642d 6c69 6e75 782d 7838 362d 3634 2e73 d-linux-x86-64.s 00000250: 6f2e 3200 0400 0000 1000 0000 0100 0000 o.2............. 00000260: 474e 5500 0000 0000 0200 0000 0600 0000 GNU............. 00000270: 2000 0000 0400 0000 1400 0000 0300 0000 ............... 00000280: 474e 5500 f2bd 5ec0 510b e9de e734 eba2 GNU...^.Q....4.. 00000290: c607 d4da b969 4d56 0100 0000 0100 0000 .....iMV........ 000002a0: 0100 0000 0000 0000 0000 0000 0000 0000 ................ 000002b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000002d0: 3100 0000 2000 0000 0000 0000 0000 0000 1... ........... 000002e0: 0000 0000 0000 0000 0b00 0000 1200 0000 ................ 000002f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000300: 1f00 0000 1200 0000 0000 0000 0000 0000 ................ 00000310: 0000 0000 0000 0000 4d00 0000 2000 0000 ........M... ... 00000320: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000330: 5c00 0000 2000 0000 0000 0000 0000 0000 \... ........... 00000340: 0000 0000 0000 0000 7000 0000 2000 0000 ........p... ... 00000350: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000360: 1000 0000 2200 0000 0000 0000 0000 0000 ...."........... 00000370: 0000 0000 0000 0000 006c 6962 632e 736f .........libc.so 00000380: 2e36 0070 7574 7300 5f5f 6378 615f 6669 .6.puts.__cxa_fi 00000390: 6e61 6c69 7a65 005f 5f6c 6962 635f 7374 nalize.__libc_st 000003a0: 6172 745f 6d61 696e 005f 4954 4d5f 6465 art_main._ITM_de 000003b0: 7265 6769 7374 6572 544d 436c 6f6e 6554 registerTMCloneT 000003c0: 6162 6c65 005f 5f67 6d6f 6e5f 7374 6172 able.__gmon_star 000003d0: 745f 5f00 5f4a 765f 5265 6769 7374 6572 t__._Jv_Register 000003e0: 436c 6173 7365 7300 5f49 544d 5f72 6567 Classes._ITM_reg 000003f0: 6973 7465 7254 4d43 6c6f 6e65 5461 626c isterTMCloneTabl 00000400: 6500 474c 4942 435f 322e 322e 3500 0000 e.GLIBC_2.2.5... 00000410: 0000 0200 0200 0000 0000 0000 0200 0000 ................ 00000420: 0100 0100 0100 0000 1000 0000 0000 0000 ................ 00000430: 751a 6909 0000 0200 8a00 0000 0000 0000 u.i............. 00000440: d80d 2000 0000 0000 0800 0000 0000 0000 .. ............. 00000450: 8006 0000 0000 0000 e00d 2000 0000 0000 .......... ..... 00000460: 0800 0000 0000 0000 4006 0000 0000 0000 ........@....... 00000470: 2810 2000 0000 0000 0800 0000 0000 0000 (. ............. 00000480: 2810 2000 0000 0000 d00f 2000 0000 0000 (. ....... ..... 00000490: 0600 0000 0100 0000 0000 0000 0000 0000 ................ 000004a0: d80f 2000 0000 0000 0600 0000 0300 0000 .. ............. 000004b0: 0000 0000 0000 0000 e00f 2000 0000 0000 .......... ..... 000004c0: 0600 0000 0400 0000 0000 0000 0000 0000 ................ 000004d0: e80f 2000 0000 0000 0600 0000 0500 0000 .. ............. 000004e0: 0000 0000 0000 0000 f00f 2000 0000 0000 .......... ..... 000004f0: 0600 0000 0600 0000 0000 0000 0000 0000 ................ 00000500: f80f 2000 0000 0000 0600 0000 0700 0000 .. ............. 00000510: 0000 0000 0000 0000 1810 2000 0000 0000 .......... ..... 00000520: 0700 0000 0200 0000 0000 0000 0000 0000 ................ 00000530: 4883 ec08 488b 05a5 0a20 0048 85c0 7402 H...H.... .H..t. 00000540: ffd0 4883 c408 c300 0000 0000 0000 0000 ..H............. 00000550: ff35 b20a 2000 ff25 b40a 2000 0f1f 4000 .5.. ..%.. ...@. 00000560: ff25 b20a 2000 6800 0000 00e9 e0ff ffff .%.. .h......... 00000570: ff25 820a 2000 6690 0000 0000 0000 0000 .%.. .f......... 00000580: 31ed 4989 d15e 4889 e248 83e4 f050 544c 1.I..^H..H...PTL 00000590: 8d05 aa01 0000 488d 0d33 0100 0048 8d3d ......H..3...H.= 000005a0: 0c01 0000 ff15 2e0a 2000 f40f 1f44 0000 ........ ....D.. 000005b0: 488d 3d79 0a20 0048 8d05 790a 2000 5548 H.=y. .H..y. .UH 000005c0: 29f8 4889 e548 83f8 0e76 1548 8b05 fe09 ).H..H...v.H.... 000005d0: 2000 4885 c074 095d ffe0 660f 1f44 0000 .H..t.]..f..D.. 000005e0: 5dc3 0f1f 4000 662e 0f1f 8400 0000 0000 ]...@.f......... 000005f0: 488d 3d39 0a20 0048 8d35 320a 2000 5548 H.=9. .H.52. .UH 00000600: 29fe 4889 e548 c1fe 0348 89f0 48c1 e83f ).H..H...H..H..? 00000610: 4801 c648 d1fe 7418 488b 05d1 0920 0048 H..H..t.H.... .H 00000620: 85c0 740c 5dff e066 0f1f 8400 0000 0000 ..t.]..f........ 00000630: 5dc3 0f1f 4000 662e 0f1f 8400 0000 0000 ]...@.f......... 00000640: 803d e909 2000 0075 2748 833d a709 2000 .=.. ..u'H.=.. . 00000650: 0055 4889 e574 0c48 8b3d ca09 2000 e80d .UH..t.H.=.. ... 00000660: ffff ffe8 48ff ffff 5dc6 05c0 0920 0001 ....H...].... .. 00000670: f3c3 0f1f 4000 662e 0f1f 8400 0000 0000 ....@.f......... 00000680: 488d 3d61 0720 0048 833f 0075 0be9 5eff H.=a. .H.?.u..^. 00000690: ffff 660f 1f44 0000 488b 0549 0920 0048 ..f..D..H..I. .H 000006a0: 85c0 74e9 5548 89e5 ffd0 5de9 40ff ffff ..t.UH....].@... 000006b0: 5548 89e5 488d 3d99 0000 00e8 a0fe ffff UH..H.=......... 000006c0: b800 0000 005d c366 0f1f 8400 0000 0000 .....].f........ 000006d0: 4157 4156 4189 ff41 5541 544c 8d25 f606 AWAVA..AUATL.%.. 000006e0: 2000 5548 8d2d f606 2000 5349 89f6 4989 .UH.-.. .SI..I. 000006f0: d54c 29e5 4883 ec08 48c1 fd03 e82f feff .L).H...H..../.. 00000700: ff48 85ed 7420 31db 0f1f 8400 0000 0000 .H..t 1......... 00000710: 4c89 ea4c 89f6 4489 ff41 ff14 dc48 83c3 L..L..D..A...H.. 00000720: 0148 39dd 75ea 4883 c408 5b5d 415c 415d .H9.u.H...[]A\A] 00000730: 415e 415f c390 662e 0f1f 8400 0000 0000 A^A_..f......... 00000740: f3c3 0000 4883 ec08 4883 c408 c300 0000 ....H...H....... 00000750: 0100 0200 4865 6c6c 6f2c 206d 616c 7761 ....Hello, malwa 00000760: 7265 2100 011b 033b 3800 0000 0600 0000 re!....;8....... 00000770: ecfd ffff 8400 0000 0cfe ffff ac00 0000 ................ 00000780: 1cfe ffff 5400 0000 4cff ffff c400 0000 ....T...L....... 00000790: 6cff ffff e400 0000 dcff ffff 2c01 0000 l...........,... 000007a0: 1400 0000 0000 0000 017a 5200 0178 1001 .........zR..x.. 000007b0: 1b0c 0708 9001 0710 1400 0000 1c00 0000 ................ 000007c0: c0fd ffff 2b00 0000 0000 0000 0000 0000 ....+........... 000007d0: 1400 0000 0000 0000 017a 5200 0178 1001 .........zR..x.. 000007e0: 1b0c 0708 9001 0000 2400 0000 1c00 0000 ........$....... 000007f0: 60fd ffff 2000 0000 000e 1046 0e18 4a0f `... ......F..J. 00000800: 0b77 0880 003f 1a3b 2a33 2422 0000 0000 .w...?.;*3$".... 00000810: 1400 0000 4400 0000 58fd ffff 0800 0000 ....D...X....... 00000820: 0000 0000 0000 0000 1c00 0000 5c00 0000 ............\... 00000830: 80fe ffff 1700 0000 0041 0e10 8602 430d .........A....C. 00000840: 0652 0c07 0800 0000 4400 0000 7c00 0000 .R......D...|... 00000850: 80fe ffff 6500 0000 0042 0e10 8f02 420e ....e....B....B. 00000860: 188e 0345 0e20 8d04 420e 288c 0548 0e30 ...E. ..B.(..H.0 00000870: 8606 480e 3883 074d 0e40 720e 3841 0e30 ..H.8..M.@r.8A.0 00000880: 410e 2842 0e20 420e 1842 0e10 420e 0800 A.(B. B..B..B... 00000890: 1400 0000 c400 0000 a8fe ffff 0200 0000 ................ 000008a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000008f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000900: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000910: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000920: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000930: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000940: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000950: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000960: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000970: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000980: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000990: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000009f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a00: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a10: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a20: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a30: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a40: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a50: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a60: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a70: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000a90: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000aa0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ab0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ac0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ad0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ae0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000af0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b00: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b10: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b20: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b30: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b40: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b50: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b60: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b70: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000b90: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ba0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bb0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bc0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bd0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000be0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000bf0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c00: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c10: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c20: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c30: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c40: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c50: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c60: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c70: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000c90: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ca0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000cb0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000cc0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000cd0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ce0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000cf0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d00: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d10: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d20: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d30: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d40: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d50: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d60: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d70: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000d90: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000da0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000db0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000dc0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000dd0: 0000 0000 0000 0000 8006 0000 0000 0000 ................ 00000de0: 4006 0000 0000 0000 0000 0000 0000 0000 @............... 00000df0: 0100 0000 0000 0000 0100 0000 0000 0000 ................ 00000e00: 0c00 0000 0000 0000 3005 0000 0000 0000 ........0....... 00000e10: 0d00 0000 0000 0000 4407 0000 0000 0000 ........D....... 00000e20: 1900 0000 0000 0000 d80d 2000 0000 0000 .......... ..... 00000e30: 1b00 0000 0000 0000 0800 0000 0000 0000 ................ 00000e40: 1a00 0000 0000 0000 e00d 2000 0000 0000 .......... ..... 00000e50: 1c00 0000 0000 0000 0800 0000 0000 0000 ................ 00000e60: f5fe ff6f 0000 0000 9802 0000 0000 0000 ...o............ 00000e70: 0500 0000 0000 0000 7803 0000 0000 0000 ........x....... 00000e80: 0600 0000 0000 0000 b802 0000 0000 0000 ................ 00000e90: 0a00 0000 0000 0000 9600 0000 0000 0000 ................ 00000ea0: 0b00 0000 0000 0000 1800 0000 0000 0000 ................ 00000eb0: 1500 0000 0000 0000 0000 0000 0000 0000 ................ 00000ec0: 0300 0000 0000 0000 0010 2000 0000 0000 .......... ..... 00000ed0: 0200 0000 0000 0000 1800 0000 0000 0000 ................ 00000ee0: 1400 0000 0000 0000 0700 0000 0000 0000 ................ 00000ef0: 1700 0000 0000 0000 1805 0000 0000 0000 ................ 00000f00: 0700 0000 0000 0000 4004 0000 0000 0000 ........@....... 00000f10: 0800 0000 0000 0000 d800 0000 0000 0000 ................ 00000f20: 0900 0000 0000 0000 1800 0000 0000 0000 ................ 00000f30: fbff ff6f 0000 0000 0000 0008 0000 0000 ...o............ 00000f40: feff ff6f 0000 0000 2004 0000 0000 0000 ...o.... ....... 00000f50: ffff ff6f 0000 0000 0100 0000 0000 0000 ...o............ 00000f60: f0ff ff6f 0000 0000 0e04 0000 0000 0000 ...o............ 00000f70: f9ff ff6f 0000 0000 0300 0000 0000 0000 ...o............ 00000f80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000f90: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000fa0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000fb0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000fc0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000fd0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000fe0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00000ff0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001000: f00d 2000 0000 0000 0000 0000 0000 0000 .. ............. 00001010: 0000 0000 0000 0000 6605 0000 0000 0000 ........f....... 00001020: 0000 0000 0000 0000 2810 2000 0000 0000 ........(. ..... 00001030: 4743 433a 2028 4465 6269 616e 2036 2e33 GCC: (Debian 6.3 00001040: 2e30 2d31 382b 6465 6239 7531 2920 362e .0-18+deb9u1) 6. 00001050: 332e 3020 3230 3137 3035 3136 0000 0000 3.0 20170516.... 00001060: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001070: 0000 0000 0000 0000 0000 0000 0300 0100 ................ 00001080: 3802 0000 0000 0000 0000 0000 0000 0000 8............... 00001090: 0000 0000 0300 0200 5402 0000 0000 0000 ........T....... 000010a0: 0000 0000 0000 0000 0000 0000 0300 0300 ................ 000010b0: 7402 0000 0000 0000 0000 0000 0000 0000 t............... 000010c0: 0000 0000 0300 0400 9802 0000 0000 0000 ................ 000010d0: 0000 0000 0000 0000 0000 0000 0300 0500 ................ 000010e0: b802 0000 0000 0000 0000 0000 0000 0000 ................ 000010f0: 0000 0000 0300 0600 7803 0000 0000 0000 ........x....... 00001100: 0000 0000 0000 0000 0000 0000 0300 0700 ................ 00001110: 0e04 0000 0000 0000 0000 0000 0000 0000 ................ 00001120: 0000 0000 0300 0800 2004 0000 0000 0000 ........ ....... 00001130: 0000 0000 0000 0000 0000 0000 0300 0900 ................ 00001140: 4004 0000 0000 0000 0000 0000 0000 0000 @............... 00001150: 0000 0000 0300 0a00 1805 0000 0000 0000 ................ 00001160: 0000 0000 0000 0000 0000 0000 0300 0b00 ................ 00001170: 3005 0000 0000 0000 0000 0000 0000 0000 0............... 00001180: 0000 0000 0300 0c00 5005 0000 0000 0000 ........P....... 00001190: 0000 0000 0000 0000 0000 0000 0300 0d00 ................ 000011a0: 7005 0000 0000 0000 0000 0000 0000 0000 p............... 000011b0: 0000 0000 0300 0e00 8005 0000 0000 0000 ................ 000011c0: 0000 0000 0000 0000 0000 0000 0300 0f00 ................ 000011d0: 4407 0000 0000 0000 0000 0000 0000 0000 D............... 000011e0: 0000 0000 0300 1000 5007 0000 0000 0000 ........P....... 000011f0: 0000 0000 0000 0000 0000 0000 0300 1100 ................ 00001200: 6407 0000 0000 0000 0000 0000 0000 0000 d............... 00001210: 0000 0000 0300 1200 a007 0000 0000 0000 ................ 00001220: 0000 0000 0000 0000 0000 0000 0300 1300 ................ 00001230: d80d 2000 0000 0000 0000 0000 0000 0000 .. ............. 00001240: 0000 0000 0300 1400 e00d 2000 0000 0000 .......... ..... 00001250: 0000 0000 0000 0000 0000 0000 0300 1500 ................ 00001260: e80d 2000 0000 0000 0000 0000 0000 0000 .. ............. 00001270: 0000 0000 0300 1600 f00d 2000 0000 0000 .......... ..... 00001280: 0000 0000 0000 0000 0000 0000 0300 1700 ................ 00001290: d00f 2000 0000 0000 0000 0000 0000 0000 .. ............. 000012a0: 0000 0000 0300 1800 0010 2000 0000 0000 .......... ..... 000012b0: 0000 0000 0000 0000 0000 0000 0300 1900 ................ 000012c0: 2010 2000 0000 0000 0000 0000 0000 0000 . ............. 000012d0: 0000 0000 0300 1a00 3010 2000 0000 0000 ........0. ..... 000012e0: 0000 0000 0000 0000 0000 0000 0300 1b00 ................ 000012f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001300: 0100 0000 0400 f1ff 0000 0000 0000 0000 ................ 00001310: 0000 0000 0000 0000 0c00 0000 0100 1500 ................ 00001320: e80d 2000 0000 0000 0000 0000 0000 0000 .. ............. 00001330: 1900 0000 0200 0e00 b005 0000 0000 0000 ................ 00001340: 0000 0000 0000 0000 1b00 0000 0200 0e00 ................ 00001350: f005 0000 0000 0000 0000 0000 0000 0000 ................ 00001360: 2e00 0000 0200 0e00 4006 0000 0000 0000 ........@....... 00001370: 0000 0000 0000 0000 4400 0000 0100 1a00 ........D....... 00001380: 3010 2000 0000 0000 0100 0000 0000 0000 0. ............. 00001390: 5300 0000 0100 1400 e00d 2000 0000 0000 S......... ..... 000013a0: 0000 0000 0000 0000 7a00 0000 0200 0e00 ........z....... 000013b0: 8006 0000 0000 0000 0000 0000 0000 0000 ................ 000013c0: 8600 0000 0100 1300 d80d 2000 0000 0000 .......... ..... 000013d0: 0000 0000 0000 0000 a500 0000 0400 f1ff ................ 000013e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000013f0: 0100 0000 0400 f1ff 0000 0000 0000 0000 ................ 00001400: 0000 0000 0000 0000 af00 0000 0100 1200 ................ 00001410: a808 0000 0000 0000 0000 0000 0000 0000 ................ 00001420: bd00 0000 0100 1500 e80d 2000 0000 0000 .......... ..... 00001430: 0000 0000 0000 0000 0000 0000 0400 f1ff ................ 00001440: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001450: c900 0000 0000 1300 e00d 2000 0000 0000 .......... ..... 00001460: 0000 0000 0000 0000 da00 0000 0100 1600 ................ 00001470: f00d 2000 0000 0000 0000 0000 0000 0000 .. ............. 00001480: e300 0000 0000 1300 d80d 2000 0000 0000 .......... ..... 00001490: 0000 0000 0000 0000 f600 0000 0000 1100 ................ 000014a0: 6407 0000 0000 0000 0000 0000 0000 0000 d............... 000014b0: 0901 0000 0100 1800 0010 2000 0000 0000 .......... ..... 000014c0: 0000 0000 0000 0000 1f01 0000 1200 0e00 ................ 000014d0: 4007 0000 0000 0000 0200 0000 0000 0000 @............... 000014e0: 2f01 0000 2000 0000 0000 0000 0000 0000 /... ........... 000014f0: 0000 0000 0000 0000 8501 0000 2000 1900 ............ ... 00001500: 2010 2000 0000 0000 0000 0000 0000 0000 . ............. 00001510: 4b01 0000 1200 0000 0000 0000 0000 0000 K............... 00001520: 0000 0000 0000 0000 5d01 0000 1000 1900 ........]....... 00001530: 3010 2000 0000 0000 0000 0000 0000 0000 0. ............. 00001540: 2901 0000 1200 0f00 4407 0000 0000 0000 ).......D....... 00001550: 0000 0000 0000 0000 6401 0000 1200 0000 ........d....... 00001560: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001570: 8301 0000 1000 1900 2010 2000 0000 0000 ........ . ..... 00001580: 0000 0000 0000 0000 9001 0000 2000 0000 ............ ... 00001590: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 000015a0: 9f01 0000 1102 1900 2810 2000 0000 0000 ........(. ..... 000015b0: 0000 0000 0000 0000 ac01 0000 1100 1000 ................ 000015c0: 5007 0000 0000 0000 0400 0000 0000 0000 P............... 000015d0: bb01 0000 1200 0e00 d006 0000 0000 0000 ................ 000015e0: 6500 0000 0000 0000 d500 0000 1000 1a00 e............... 000015f0: 3810 2000 0000 0000 0000 0000 0000 0000 8. ............. 00001600: 8901 0000 1200 0e00 8005 0000 0000 0000 ................ 00001610: 2b00 0000 0000 0000 cb01 0000 1000 1a00 +............... 00001620: 3010 2000 0000 0000 0000 0000 0000 0000 0. ............. 00001630: d701 0000 1200 0e00 b006 0000 0000 0000 ................ 00001640: 1700 0000 0000 0000 dc01 0000 2000 0000 ............ ... 00001650: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001660: f001 0000 1102 1900 3010 2000 0000 0000 ........0. ..... 00001670: 0000 0000 0000 0000 fc01 0000 2000 0000 ............ ... 00001680: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001690: 1602 0000 2200 0000 0000 0000 0000 0000 ...."........... 000016a0: 0000 0000 0000 0000 c501 0000 1200 0b00 ................ 000016b0: 3005 0000 0000 0000 0000 0000 0000 0000 0............... 000016c0: 0063 7274 7374 7566 662e 6300 5f5f 4a43 .crtstuff.c.__JC 000016d0: 525f 4c49 5354 5f5f 0064 6572 6567 6973 R_LIST__.deregis 000016e0: 7465 725f 746d 5f63 6c6f 6e65 7300 5f5f ter_tm_clones.__ 000016f0: 646f 5f67 6c6f 6261 6c5f 6474 6f72 735f do_global_dtors_ 00001700: 6175 7800 636f 6d70 6c65 7465 642e 3639 aux.completed.69 00001710: 3732 005f 5f64 6f5f 676c 6f62 616c 5f64 72.__do_global_d 00001720: 746f 7273 5f61 7578 5f66 696e 695f 6172 tors_aux_fini_ar 00001730: 7261 795f 656e 7472 7900 6672 616d 655f ray_entry.frame_ 00001740: 6475 6d6d 7900 5f5f 6672 616d 655f 6475 dummy.__frame_du 00001750: 6d6d 795f 696e 6974 5f61 7272 6179 5f65 mmy_init_array_e 00001760: 6e74 7279 006d 6169 6e5f 3031 2e63 005f ntry.main_01.c._ 00001770: 5f46 5241 4d45 5f45 4e44 5f5f 005f 5f4a _FRAME_END__.__J 00001780: 4352 5f45 4e44 5f5f 005f 5f69 6e69 745f CR_END__.__init_ 00001790: 6172 7261 795f 656e 6400 5f44 594e 414d array_end._DYNAM 000017a0: 4943 005f 5f69 6e69 745f 6172 7261 795f IC.__init_array_ 000017b0: 7374 6172 7400 5f5f 474e 555f 4548 5f46 start.__GNU_EH_F 000017c0: 5241 4d45 5f48 4452 005f 474c 4f42 414c RAME_HDR._GLOBAL 000017d0: 5f4f 4646 5345 545f 5441 424c 455f 005f _OFFSET_TABLE_._ 000017e0: 5f6c 6962 635f 6373 755f 6669 6e69 005f _libc_csu_fini._ 000017f0: 4954 4d5f 6465 7265 6769 7374 6572 544d ITM_deregisterTM 00001800: 436c 6f6e 6554 6162 6c65 0070 7574 7340 CloneTable.puts@ 00001810: 4047 4c49 4243 5f32 2e32 2e35 005f 6564 @GLIBC_2.2.5._ed 00001820: 6174 6100 5f5f 6c69 6263 5f73 7461 7274 ata.__libc_start 00001830: 5f6d 6169 6e40 4047 4c49 4243 5f32 2e32 _main@@GLIBC_2.2 00001840: 2e35 005f 5f64 6174 615f 7374 6172 7400 .5.__data_start. 00001850: 5f5f 676d 6f6e 5f73 7461 7274 5f5f 005f __gmon_start__._ 00001860: 5f64 736f 5f68 616e 646c 6500 5f49 4f5f _dso_handle._IO_ 00001870: 7374 6469 6e5f 7573 6564 005f 5f6c 6962 stdin_used.__lib 00001880: 635f 6373 755f 696e 6974 005f 5f62 7373 c_csu_init.__bss 00001890: 5f73 7461 7274 006d 6169 6e00 5f4a 765f _start.main._Jv_ 000018a0: 5265 6769 7374 6572 436c 6173 7365 7300 RegisterClasses. 000018b0: 5f5f 544d 435f 454e 445f 5f00 5f49 544d __TMC_END__._ITM 000018c0: 5f72 6567 6973 7465 7254 4d43 6c6f 6e65 _registerTMClone 000018d0: 5461 626c 6500 5f5f 6378 615f 6669 6e61 Table.__cxa_fina 000018e0: 6c69 7a65 4040 474c 4942 435f 322e 322e lize@@GLIBC_2.2. 000018f0: 3500 002e 7379 6d74 6162 002e 7374 7274 5...symtab..strt 00001900: 6162 002e 7368 7374 7274 6162 002e 696e ab..shstrtab..in 00001910: 7465 7270 002e 6e6f 7465 2e41 4249 2d74 terp..note.ABI-t 00001920: 6167 002e 6e6f 7465 2e67 6e75 2e62 7569 ag..note.gnu.bui 00001930: 6c64 2d69 6400 2e67 6e75 2e68 6173 6800 ld-id..gnu.hash. 00001940: 2e64 796e 7379 6d00 2e64 796e 7374 7200 .dynsym..dynstr. 00001950: 2e67 6e75 2e76 6572 7369 6f6e 002e 676e .gnu.version..gn 00001960: 752e 7665 7273 696f 6e5f 7200 2e72 656c u.version_r..rel 00001970: 612e 6479 6e00 2e72 656c 612e 706c 7400 a.dyn..rela.plt. 00001980: 2e69 6e69 7400 2e70 6c74 2e67 6f74 002e .init..plt.got.. 00001990: 7465 7874 002e 6669 6e69 002e 726f 6461 text..fini..roda 000019a0: 7461 002e 6568 5f66 7261 6d65 5f68 6472 ta..eh_frame_hdr 000019b0: 002e 6568 5f66 7261 6d65 002e 696e 6974 ..eh_frame..init 000019c0: 5f61 7272 6179 002e 6669 6e69 5f61 7272 _array..fini_arr 000019d0: 6179 002e 6a63 7200 2e64 796e 616d 6963 ay..jcr..dynamic 000019e0: 002e 676f 742e 706c 7400 2e64 6174 6100 ..got.plt..data. 000019f0: 2e62 7373 002e 636f 6d6d 656e 7400 0000 .bss..comment... 00001a00: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001a10: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001a20: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001a30: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 00001a40: 1b00 0000 0100 0000 0200 0000 0000 0000 ................ 00001a50: 3802 0000 0000 0000 3802 0000 0000 0000 8.......8....... 00001a60: 1c00 0000 0000 0000 0000 0000 0000 0000 ................ 00001a70: 0100 0000 0000 0000 0000 0000 0000 0000 ................ 00001a80: 2300 0000 0700 0000 0200 0000 0000 0000 #............... 00001a90: 5402 0000 0000 0000 5402 0000 0000 0000 T.......T....... 00001aa0: 2000 0000 0000 0000 0000 0000 0000 0000 ............... 00001ab0: 0400 0000 0000 0000 0000 0000 0000 0000 ................ 00001ac0: 3100 0000 0700 0000 0200 0000 0000 0000 1............... 00001ad0: 7402 0000 0000 0000 7402 0000 0000 0000 t.......t....... 00001ae0: 2400 0000 0000 0000 0000 0000 0000 0000 $............... 00001af0: 0400 0000 0000 0000 0000 0000 0000 0000 ................ 00001b00: 4400 0000 f6ff ff6f 0200 0000 0000 0000 D......o........ 00001b10: 9802 0000 0000 0000 9802 0000 0000 0000 ................ 00001b20: 1c00 0000 0000 0000 0500 0000 0000 0000 ................ 00001b30: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001b40: 4e00 0000 0b00 0000 0200 0000 0000 0000 N............... 00001b50: b802 0000 0000 0000 b802 0000 0000 0000 ................ 00001b60: c000 0000 0000 0000 0600 0000 0100 0000 ................ 00001b70: 0800 0000 0000 0000 1800 0000 0000 0000 ................ 00001b80: 5600 0000 0300 0000 0200 0000 0000 0000 V............... 00001b90: 7803 0000 0000 0000 7803 0000 0000 0000 x.......x....... 00001ba0: 9600 0000 0000 0000 0000 0000 0000 0000 ................ 00001bb0: 0100 0000 0000 0000 0000 0000 0000 0000 ................ 00001bc0: 5e00 0000 ffff ff6f 0200 0000 0000 0000 ^......o........ 00001bd0: 0e04 0000 0000 0000 0e04 0000 0000 0000 ................ 00001be0: 1000 0000 0000 0000 0500 0000 0000 0000 ................ 00001bf0: 0200 0000 0000 0000 0200 0000 0000 0000 ................ 00001c00: 6b00 0000 feff ff6f 0200 0000 0000 0000 k......o........ 00001c10: 2004 0000 0000 0000 2004 0000 0000 0000 ....... ....... 00001c20: 2000 0000 0000 0000 0600 0000 0100 0000 ............... 00001c30: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001c40: 7a00 0000 0400 0000 0200 0000 0000 0000 z............... 00001c50: 4004 0000 0000 0000 4004 0000 0000 0000 @.......@....... 00001c60: d800 0000 0000 0000 0500 0000 0000 0000 ................ 00001c70: 0800 0000 0000 0000 1800 0000 0000 0000 ................ 00001c80: 8400 0000 0400 0000 4200 0000 0000 0000 ........B....... 00001c90: 1805 0000 0000 0000 1805 0000 0000 0000 ................ 00001ca0: 1800 0000 0000 0000 0500 0000 1800 0000 ................ 00001cb0: 0800 0000 0000 0000 1800 0000 0000 0000 ................ 00001cc0: 8e00 0000 0100 0000 0600 0000 0000 0000 ................ 00001cd0: 3005 0000 0000 0000 3005 0000 0000 0000 0.......0....... 00001ce0: 1700 0000 0000 0000 0000 0000 0000 0000 ................ 00001cf0: 0400 0000 0000 0000 0000 0000 0000 0000 ................ 00001d00: 8900 0000 0100 0000 0600 0000 0000 0000 ................ 00001d10: 5005 0000 0000 0000 5005 0000 0000 0000 P.......P....... 00001d20: 2000 0000 0000 0000 0000 0000 0000 0000 ............... 00001d30: 1000 0000 0000 0000 1000 0000 0000 0000 ................ 00001d40: 9400 0000 0100 0000 0600 0000 0000 0000 ................ 00001d50: 7005 0000 0000 0000 7005 0000 0000 0000 p.......p....... 00001d60: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001d70: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001d80: 9d00 0000 0100 0000 0600 0000 0000 0000 ................ 00001d90: 8005 0000 0000 0000 8005 0000 0000 0000 ................ 00001da0: c201 0000 0000 0000 0000 0000 0000 0000 ................ 00001db0: 1000 0000 0000 0000 0000 0000 0000 0000 ................ 00001dc0: a300 0000 0100 0000 0600 0000 0000 0000 ................ 00001dd0: 4407 0000 0000 0000 4407 0000 0000 0000 D.......D....... 00001de0: 0900 0000 0000 0000 0000 0000 0000 0000 ................ 00001df0: 0400 0000 0000 0000 0000 0000 0000 0000 ................ 00001e00: a900 0000 0100 0000 0200 0000 0000 0000 ................ 00001e10: 5007 0000 0000 0000 5007 0000 0000 0000 P.......P....... 00001e20: 1400 0000 0000 0000 0000 0000 0000 0000 ................ 00001e30: 0400 0000 0000 0000 0000 0000 0000 0000 ................ 00001e40: b100 0000 0100 0000 0200 0000 0000 0000 ................ 00001e50: 6407 0000 0000 0000 6407 0000 0000 0000 d.......d....... 00001e60: 3c00 0000 0000 0000 0000 0000 0000 0000 <............... 00001e70: 0400 0000 0000 0000 0000 0000 0000 0000 ................ 00001e80: bf00 0000 0100 0000 0200 0000 0000 0000 ................ 00001e90: a007 0000 0000 0000 a007 0000 0000 0000 ................ 00001ea0: 0c01 0000 0000 0000 0000 0000 0000 0000 ................ 00001eb0: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001ec0: c900 0000 0e00 0000 0300 0000 0000 0000 ................ 00001ed0: d80d 2000 0000 0000 d80d 0000 0000 0000 .. ............. 00001ee0: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001ef0: 0800 0000 0000 0000 0800 0000 0000 0000 ................ 00001f00: d500 0000 0f00 0000 0300 0000 0000 0000 ................ 00001f10: e00d 2000 0000 0000 e00d 0000 0000 0000 .. ............. 00001f20: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001f30: 0800 0000 0000 0000 0800 0000 0000 0000 ................ 00001f40: e100 0000 0100 0000 0300 0000 0000 0000 ................ 00001f50: e80d 2000 0000 0000 e80d 0000 0000 0000 .. ............. 00001f60: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001f70: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00001f80: e600 0000 0600 0000 0300 0000 0000 0000 ................ 00001f90: f00d 2000 0000 0000 f00d 0000 0000 0000 .. ............. 00001fa0: e001 0000 0000 0000 0600 0000 0000 0000 ................ 00001fb0: 0800 0000 0000 0000 1000 0000 0000 0000 ................ 00001fc0: 9800 0000 0100 0000 0300 0000 0000 0000 ................ 00001fd0: d00f 2000 0000 0000 d00f 0000 0000 0000 .. ............. 00001fe0: 3000 0000 0000 0000 0000 0000 0000 0000 0............... 00001ff0: 0800 0000 0000 0000 0800 0000 0000 0000 ................ 00002000: ef00 0000 0100 0000 0300 0000 0000 0000 ................ 00002010: 0010 2000 0000 0000 0010 0000 0000 0000 .. ............. 00002020: 2000 0000 0000 0000 0000 0000 0000 0000 ............... 00002030: 0800 0000 0000 0000 0800 0000 0000 0000 ................ 00002040: f800 0000 0100 0000 0300 0000 0000 0000 ................ 00002050: 2010 2000 0000 0000 2010 0000 0000 0000 . ..... ....... 00002060: 1000 0000 0000 0000 0000 0000 0000 0000 ................ 00002070: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 00002080: fe00 0000 0800 0000 0300 0000 0000 0000 ................ 00002090: 3010 2000 0000 0000 3010 0000 0000 0000 0. .....0....... 000020a0: 0800 0000 0000 0000 0000 0000 0000 0000 ................ 000020b0: 0100 0000 0000 0000 0000 0000 0000 0000 ................ 000020c0: 0301 0000 0100 0000 3000 0000 0000 0000 ........0....... 000020d0: 0000 0000 0000 0000 3010 0000 0000 0000 ........0....... 000020e0: 2d00 0000 0000 0000 0000 0000 0000 0000 -............... 000020f0: 0100 0000 0000 0000 0100 0000 0000 0000 ................ 00002100: 0100 0000 0200 0000 0000 0000 0000 0000 ................ 00002110: 0000 0000 0000 0000 6010 0000 0000 0000 ........`....... 00002120: 6006 0000 0000 0000 1d00 0000 2f00 0000 `.........../... 00002130: 0800 0000 0000 0000 1800 0000 0000 0000 ................ 00002140: 0900 0000 0300 0000 0000 0000 0000 0000 ................ 00002150: 0000 0000 0000 0000 c016 0000 0000 0000 ................ 00002160: 3202 0000 0000 0000 0000 0000 0000 0000 2............... 00002170: 0100 0000 0000 0000 0000 0000 0000 0000 ................ 00002180: 1100 0000 0300 0000 0000 0000 0000 0000 ................ 00002190: 0000 0000 0000 0000 f218 0000 0000 0000 ................ 000021a0: 0c01 0000 0000 0000 0000 0000 0000 0000 ................ 000021b0: 0100 0000 0000 0000 0000 0000 0000 0000 ................
В следующем примере команда file была запущена для двух разных файлов:
!apt-get install file
Reading package lists... Done Building dependency tree Reading state information... Done The following package was automatically installed and is no longer required: libnvidia-common-460 Use 'apt autoremove' to remove it. The following additional packages will be installed: libmagic-mgc libmagic1 The following NEW packages will be installed: file libmagic-mgc libmagic1 0 upgraded, 3 newly installed, 0 to remove and 5 not upgraded. Need to get 275 kB of archives. After this operation, 5,297 kB of additional disk space will be used. Get:1 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 libmagic-mgc amd64 1:5.32-2ubuntu0.4 [184 kB] Get:2 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 libmagic1 amd64 1:5.32-2ubuntu0.4 [68.6 kB] Get:3 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 file amd64 1:5.32-2ubuntu0.4 [22.1 kB] Fetched 275 kB in 1s (404 kB/s) Selecting previously unselected package libmagic-mgc. (Reading database ... 123991 files and directories currently installed.) Preparing to unpack .../libmagic-mgc_1%3a5.32-2ubuntu0.4_amd64.deb ... Unpacking libmagic-mgc (1:5.32-2ubuntu0.4) ... Selecting previously unselected package libmagic1:amd64. Preparing to unpack .../libmagic1_1%3a5.32-2ubuntu0.4_amd64.deb ... Unpacking libmagic1:amd64 (1:5.32-2ubuntu0.4) ... Selecting previously unselected package file. Preparing to unpack .../file_1%3a5.32-2ubuntu0.4_amd64.deb ... Unpacking file (1:5.32-2ubuntu0.4) ... Setting up libmagic-mgc (1:5.32-2ubuntu0.4) ... Setting up libmagic1:amd64 (1:5.32-2ubuntu0.4) ... Setting up file (1:5.32-2ubuntu0.4) ... Processing triggers for man-db (2.8.3-2ubuntu0.1) ... Processing triggers for libc-bin (2.27-3ubuntu1.6) ...
!file samples/task-1.exe
samples/task-1.exe: PE32 executable (GUI) Intel 80386, for MS Windows
!file samples/test_01
samples/test_01: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=f2bd5ec0510be9dee734eba2c607d4dab9694d56, not stripped
В Python модуль python-magic может использоваться для определения типа файла:
!pip3 install python-magic
Looking in indexes: https://pypi.org/simple, https://us-python.pkg.dev/colab-wheels/public/simple/ Collecting python-magic Downloading python_magic-0.4.27-py2.py3-none-any.whl (13 kB) Installing collected packages: python-magic Successfully installed python-magic-0.4.27
import magic
magic.from_file("samples/test_01")
'ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=f2bd5ec0510be9dee734eba2c607d4dab9694d56, not stripped'
magic.from_file("samples/task-1.exe")
'PE32 executable (GUI) Intel 80386, for MS Windows'
!md5sum samples/task-1.exe
a82a243ff5dbf90677c64eae4f0b6a8e samples/task-1.exe
!sha256sum samples/task-1.exe
c4b4e76d20cfb1159cd83a65c067fe56146e86ea11aa5c6228e20e5737e700b5 samples/task-1.exe
!sha1sum samples/task-1.exe
79bcef7061fc9c79e4437871f8135498f8608b8f samples/task-1.exe
В Python можно генерировать хеш-суммы, используя модуль hashlib, как показано ниже:
import hashlib
content = open("samples/task-1.exe","rb").read()
print(hashlib.md5(content).hexdigest())
a82a243ff5dbf90677c64eae4f0b6a8e
print(hashlib.sha256(content).hexdigest())
c4b4e76d20cfb1159cd83a65c067fe56146e86ea11aa5c6228e20e5737e700b5
print(hashlib.sha1(content).hexdigest())
79bcef7061fc9c79e4437871f8135498f8608b8f
Извлечение строк может подсказать, как функционирует программа, и рассказать об индикаторах, указывающих на подозрительный двоичный код. Например, если вредоносная программа создает файл, имя файла сохраняется в виде строки в двоичном файле. Или если вредоносная программа разрешает доменное имя, контролируемое злоумышленником, это имя впоследствии хранится в виде строки.
Чтобы извлечь строки из подозрительного двоичного файла, вы можете использовать утилиту strings в системах GNU/Linux.
Команда strings
по умолчанию извлекает ASCII-строки, длина которых составляет минимум четыре символа. С помощью опции -a
можно извлечь строки из целого файла.
!strings -a samples/task-1.exe
!This program cannot be run in DOS mode. Rich .text `.rdata @.data .reloc .text$mn .idata$5 .rdata .rdata$zzzdbg .idata$2 .idata$3 .idata$4 .idata$6 .data ExitProcess WinExec KERNEL32.dll calc
В образцах вредоносных программ также используются Юникод-строки (2 байта на символ). Чтобы получить полезную информацию из двоичного файла, иногда нужно извлечь как ASCII-, так и Юникод-строки. Чтобы извлечь Юникод-строки с помощью команды strings
, используйте опцию -el
:
!strings -a -el samples/task-1.exe
Модуль FLOSS автоматически извлекает запутанные строки из вредоносных программ.
Исполняемые файлы ОС Windows должны соответствовать формату PE/COFF (Portable Executable/Common Object File Format – Переносимый исполняемый/стандартный формат объектного файла).
Фактическое содержимое PE-файла разделено на секции. За ними сразу же следует PE-заголовок. Эти секции представляют либо код, либо данные, они имеют in-memory-атрибуты
, такие как чтение/запись. Секция, представляющая код, содержит инструкции, которые будут выполняться процессором, тогда как секция, содержащая данные, может представлять различные типы данных, такие как чтение/запись данных программы (глобальные переменные), таблицы импорта/экспорта, ресурсы и т. д. У каждой секции есть свое имя, которое передает ее назначение.
Например, секция с именем .text
указывает на код и имеет атрибут read-execute
; раздел с именем .data
указывает на глобальные данные и имеет атрибут read-write
.
Следующий скрипт Python демонстрирует использование модуля pefile для отображения секции и её характеристик:
!pip3 install pefile
Looking in indexes: https://pypi.org/simple, https://us-python.pkg.dev/colab-wheels/public/simple/ Collecting pefile Downloading pefile-2022.5.30.tar.gz (72 kB) |████████████████████████████████| 72 kB 989 kB/s Requirement already satisfied: future in /usr/local/lib/python3.7/dist-packages (from pefile) (0.16.0) Building wheels for collected packages: pefile Building wheel for pefile (setup.py) ... done Created wheel for pefile: filename=pefile-2022.5.30-py3-none-any.whl size=69377 sha256=49afb64ee6932869d6a53ca4dc3844759e3c4f3b522ed7a379324464cca68e7f Stored in directory: /root/.cache/pip/wheels/93/de/9a/ff00177c0bd6f71ec50ece96f4994fc075b29f6ac1484f0bed Successfully built pefile Installing collected packages: pefile Successfully installed pefile-2022.5.30
import pefile
pe = pefile.PE("samples/task-1.exe")
for section in pe.sections:
print(f"{section.Name.decode()} \
{hex(section.VirtualAddress)} \
{hex(section.Misc_VirtualSize)} \
{section.SizeOfRawData}")
.text 0x1000 0x1f 512 .rdata 0x2000 0x13a 512 .data 0x3000 0x5 512 .reloc 0x4000 0x10 512
Скрипт Pescanner использует эвристику вместо сигнатур и может помочь идентифицировать упакованные двоичные файлы, даже если для них нет сигнатур.