第4回マルウェア解析勉強会( #malwat )のつぶやきまとめ

2013/2/23(土)に開催された「第4回マルウェア解析勉強会」(#malwat)のつぶやきをまとめました。 詳細はこちら。 「第4回マルウェア解析勉強会」 http://atnd.org/events/35879
6
前へ 1 ・・ 4 5 ・・ 8 次へ
zaki @zaki_hmkc

proguardで難読化されていても、同じファミリのマルウェアであれば同じようなパターンで難読化されることが多いため似た傾向になる #malwat

2013-02-23 15:06:13
てきとう @tkito

視覚化した画像で比較したらどうなるの?→やってみないとわからないけどコード部分とか結構違うしあんまり有効じゃないかも #malwat

2013-02-23 15:09:24
てきとう @tkito

難読化されてたらどうなの?→難読化されてても同じファミリは似たような結果になるので行けると思う #malwat

2013-02-23 15:11:00
てきとう @tkito

某製品のデモ。技術わかるところが売ってるのは安心感がある。 #malwat

2013-02-23 15:11:59
NAKATSURU You @you0708

JEB は IDA を意識し過ぎてて、IDA の一文字ずらしを名称にしたとかwwww #malwat

2013-02-23 15:12:14
てきとう @tkito

自分以外に一人質問していた方がいらっしゃったけど内容忘れてしまった… #malwat

2013-02-23 15:19:29
あい さま @hmmzi

会場に女一人でアウェイすぎる... #malwat

2013-02-23 15:24:35
ニシダマサタ @masata_masata

先ほどの発表資料をSlideShareにUploadしました。 「Android DEX Formatと同じファミリーのAndroidマルウェアのDEX差分」 - http://t.co/JPdTlPxbkX #malwat

2013-02-23 15:25:20
てきとう @tkito

「マルウエアの中の API ハッシュを解こう」 JPCERT/CC 遠山央さん #malwat

2013-02-23 15:28:15
ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

『マルウエアの中の API ハッシュを解こう』 JPCERT/CC 遠山央さん #malwat

2013-02-23 15:30:29
ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

ドキュメント型のマルウェアはコードサイズが小さい #malwat

2013-02-23 15:33:55
てきとう @tkito

文書型のマルウェアの70%くらいがシェルコード内でAPIハッシュを使っている #malwat

2013-02-23 15:34:10
てきとう @tkito

APIハッシュを使うのは難読化とサイズをコンパクトにするのが目的 #malwat

2013-02-23 15:34:38
ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

・APIハッシュってなに? 「4バイト値」「(おおよそ)APIごとに固有 」 #malwat

2013-02-23 15:35:43
てきとう @tkito

APIハッシュはAPI名を1文字ずつrorしてaddしていく(一例) #malwat

2013-02-23 15:36:29
ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

・APIハッシュを解こう 「特定のDLLで定義されるAPIのAPIハッシュを列挙するスクリプトを作成しよう!」 #malwat

2013-02-23 15:39:59
てきとう @tkito

1. dllからAPI名取り出してハッシュ値計算してヘッダファイルにする #malwat

2013-02-23 15:44:22
てきとう @tkito

2. tilファイルを作る。hex-raysからtilib.exeを取得して使う。先ほど作成したヘッダファイルを入力として与える。 #malwat

2013-02-23 15:46:22
NAKATSURU You @you0708

create_api_hash_enum.py で IDA enum のヘッダファイルを作成 → tilib.exe で til ファイル化 → IDA のディレクトリにつっこむ → 解析時に Type Library を読み込む → ウマー #malwat

2013-02-23 15:46:52
前へ 1 ・・ 4 5 ・・ 8 次へ