PEとpcapが渡される。
まずpcapを覗くとHTTPのリクエスト/レスポンスが一組ある。
何やら暗号化されているようだ。
そこまで大きいPEファイルではなかったのでいきなりGhidraに入れて見てみる。
文字列にCBCとあるのでここから辿る。
FUN_140001100
BCryptのAPIを使って暗号化しているようだ。
BCryptEncryptの第一引数が暗号鍵のハンドラで、BCryptGenerateSymmetricKey の第五引数をもとにしている。
BCryptEncrypt 関数 (bcrypt.h) - Win32 apps | Microsoft Learn
BCryptGenerateSymmetricKey 関数 (bcrypt.h) - Win32 apps | Microsoft Learn
第五引数(secret)はFUN_140001100の第三引数なので辿る。
そうすると、ランダムっぽい16byteデータを設定しているので、 これを暗号化鍵、HTTPのbodyの先頭16byteをIVとし、復号してみる。
wiresharkで当該箇所をコピー