在分析 TONESHELL 家族的樣本時，發現它大量利用了 PEB Walk 這個技術來躲避 IAT 的靜態分析，同時也使用了許多混淆技術。然後我在分析這些樣本時，常常會忘記一些結構的 offset 或是其他細節，每次都要重新找資料有點累 (´;ω;`)。所以我就趁這個機會，把我從 TONESHELL 身上學到 PEB walk 的程式結構，還有分析的方式，綜合寫成這篇筆記。

在整理新的部落格時，到處蒐集人家怎麼魔改 Fuwari，然後發現大家都有整合 Giscus 作為留言系統，於是便想要自己（Chat GPT）整合看看。過程中也參考了很多大佬的整合方式，但在 try and error 的過程中，發現了一個蠻簡單的實作方式。

在火星人中，每個火星人收到轉發郵件時，都會只轉發給一個指定的人（且不能轉給自己）。現在，族長想親自寄出一封郵件，他想知道應該寄給哪一位火星人，才能讓看到郵件的人數最多。每個人之後按照固定的轉發規則傳遞下去。

先檢查檔案類型，是個 32 位元的 ELF 檔案。

It’s the FLAG SHOP!!! Let’s go buy some flags!!!