第4回 静岡ITPro勉強会まとめ

amay077@mastodon.cloud @amay077

アセンブラ見るの高校以来ｗ #shizuoka_itpro4

もくだいさん🇯🇵 365おじさん @mokudai

マルウェア解析には逆アセンブルした印刷物と鉛筆、関数電卓があればいい #shizuoka_itpro4

TAKI, Yasushi (瀧 康史) @kohju

ひさしぶりにx86の逆アセンブルソース見たw #shizuoka_itpro4

もくだいさん🇯🇵 365おじさん @mokudai

おなじく高校の時以来ｗ RT @amay077: アセンブラ見るの高校以来ｗ #shizuoka_itpro4

yoshinabu @yoshinabu

スタックに引数とか懐かしすぎる #shizuoka_itpro4

Tadahiro Ishisaka🖖 @ishisaka

マルウェア解析面白いぞ #shizuoka_itpro4

yoshinabu @yoshinabu

これですね http://www.hex-rays.com/idapro/ #shizuoka_itpro4

yoshinabu @yoshinabu

コールグラフとかも出してくれるのね #shizuoka_itpro4

Tadahiro Ishisaka🖖 @ishisaka

コールグラフ。。。 #shizuoka_itpro4

yoshinabu @yoshinabu

これはぜひハンズオンしてみたい #shizuoka_itpro4

yoshinabu @yoshinabu

紙に書き出すアナログな静的解析 #shizuoka_itpro4

Tadahiro Ishisaka🖖 @ishisaka

よく使われる関数はコールグラフに入れない。ノイズは含めない #shizuoka_itpro4

Tadahiro Ishisaka🖖 @ishisaka

グローバルメモリの使われ方も重要 #shizuoka_itpro4

yoshinabu @yoshinabu

グローバルメモリの使われ方をメモしておく #shizuoka_itpro4

amay077@mastodon.cloud @amay077

逆アセンブルリストの束…これはやりたくないｗ #shizuoka_itpro4

Tadahiro Ishisaka🖖 @ishisaka

年々逆アセンブルリストが増えていくｗｗｗ #shizuoka_itpro4

yoshinabu @yoshinabu

解析したリストの数が'02と'08が急増してる #shizuoka_itpro4

Tadahiro Ishisaka🖖 @ishisaka

マルウェアがアセンブラからCで開発されるようになり、逆アセンブルの量が増えてきている。 #shizuoka_itpro4

Y Ushida @ushiday

紙の厚さには、自分も注意しよう。 #shizuoka_itpro4

yoshinabu @yoshinabu

アセンブリで記述された丸ウェアが減っていく(ただしこれは世界的統計ではない) #shizuoka_itpro4

yoshinabu @yoshinabu

楽をするために努力する姿って美しいです #shizuoka_itpro4

yoshinabu @yoshinabu

状態遷移図的な #shizuoka_itpro4

yoshinabu @yoshinabu

コールグラフの各関数を配列の一要素として、長さ不定の配列として考える。 #shizuoka_itpro4

yoshinabu @yoshinabu

その配列にギャップを挿入して長さをそろえ、比較することで亜種を判別できる #shizuoka_itpro4

Tadahiro Ishisaka🖖 @ishisaka

検体間の関係を数値で表す。 #shizuoka_itpro4