第1回マルウェア解析勉強会のまとめ

Tsukasa #01 @a4lg

最後のネタでクソワロタｗ #malwat

Yojiro UO @yojiro

ある意味Malware解析に限らずにふつーに使える話だったので聞けてよかった #malwat

Tsukasa #01 @a4lg

対象ユーザーが無理ゲーな件 #malwat

ハニーポッター @k_morihisa

ターゲット：1．x86アセンブラを読める人 2．WindowsのAPIに精通している人 #malwat

rnurachue⌬ @murachue

x86のアセンブラが完璧に読めるって、つまりAADとかcmpxchg8bとかも読めないとダメですかね。 #malwat

ishikawa84g @ishikawa84g

受講者への要求レベルが high ｗｗｗ #malwat

@hon53

いつの間にか #malwat なるものが開催されていつの間にか終わっていた件orz 帰ってきたら感想聞こうっと

Takashi Matsumoto @F0ro

解析環境聞くだけで結構興味深い。 #malwat

@egggarden

デコンパイラ使えるのがうらやましいね　#malwat

Takashi Matsumoto @F0ro

解析目的によってこんなにレポート内容が違うのかー #malwat

Tsukasa #01 @a4lg

Phantom = Anti-Anti-Debugging Plugin for OllyDbg #malwat

Tsukasa #01 @a4lg

難読化は処理を追うのがすごく面倒。 #malwat

Tsukasa #01 @a4lg

色々難読化あるけど、単純なものでも結構面倒なんだよなぁ。 #malwat

Tsukasa #01 @a4lg

OllyDbg + SFX (たまに動作するけど問題も多いとか。) #malwat

かいと（kaito834） @kaito834

#malwat 盛り上がってそうだなー。

Tsukasa #01 @a4lg

(正確だが遅い) == (不正確だが遅い) #malwat

NAKATSURU You @you0708

正論w QT @a4lg (正確だが遅い) == (不正確だが遅い) #malwat

@egggarden

ファイルIOなら、動的解析＋フィルタドライバで収集したほうがよいと思う　#malwat

Tsukasa #01 @a4lg

@egggarden 確かそういうツール作ってましたよね？ #malwat

rnurachue⌬ @murachue

#malwat RT murachue: CreateRemoteThread考えたやつ爆発

Tsukasa #01 @a4lg

CreateRemoteThread とか使うインジェクター #malwat

yumano @yumano

名前からして酷いイメージがw RT @murachue: #malwat RT murachue: CreateRemoteThread考えたやつ爆発

rnurachue⌬ @murachue

ResumeThreadは頭になかった #malwat

Tsukasa #01 @a4lg

でもシステムコールレベルでは同一だった、ような… (CreateThread / CreateRemoteThread --> NtCreateThread でしたっけ?) #malwat

勇士Ｑ @ucq

前にCreateThreadが使うからしょうがないって言われたお　RT @murachue: #malwat RT murachue: CreateRemoteThread考えたやつ爆発