とあるマルウェアのディスアセンブル避けの工夫

筆者は、MacOS 用の怪しいマルウェアを解析中に以下のようなツールと無関係な謎の Copyright 表記を発見したと

(c) 2014 - Cryptic Apps SARL - Disassembling not allowed

Cryptic Apps は、ディスアセンブラ・ツールHopperを作っている会社のようです。

そして、この Hopper のデモ版で Hopper 自身を解析しようとすると、「このプログラムはディスアセンブルできません」という警告が出て先へ進めないと。

もうおわかりかと思いますが、どうもこの Hopper、自身の Copyright 表記がバイナリに入っているとこのエラーを出してディスアセンブルさせないようなのですね。

このとあるマルウェアも、Hopper で解析されては企みがバレてしまうと思い、自身の中にこの Copyright を埋め込んだということでしょう。この部分を手で書き換えることで、Hopper でディスアセンブルできるようになったそうです。(そしてたぶん Hopper 自身も)