第4回マルウェア解析勉強会( #malwat )のつぶやきまとめ

NAKATSURU You @you0708

後で調べる。 #malwat / CompLearn NCD http://t.co/QML9CVEBi6

zaki @zaki_hmkc

proguardで難読化されていても、同じファミリのマルウェアであれば同じようなパターンで難読化されることが多いため似た傾向になる #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

某社の製品デモ。ｗ #malwat

4y4$3 @data_head

Rename はe ですね #malwat

てきとう @tkito

視覚化した画像で比較したらどうなるの？→やってみないとわからないけどコード部分とか結構違うしあんまり有効じゃないかも #malwat

てきとう @tkito

難読化されてたらどうなの？→難読化されてても同じファミリは似たような結果になるので行けると思う #malwat

てきとう @tkito

某製品のデモ。技術わかるところが売ってるのは安心感がある。 #malwat

NAKATSURU You @you0708

JEB は IDA を意識し過ぎてて、IDA の一文字ずらしを名称にしたとかwwww #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

これも一人で作成...かよ！？ ＃malwat

てきとう @tkito

自分以外に一人質問していた方がいらっしゃったけど内容忘れてしまった… #malwat

あい さま @hmmzi

会場に女一人でアウェイすぎる... #malwat

ニシダマサタ @masata_masata

先ほどの発表資料をSlideShareにUploadしました。 「Android DEX Formatと同じファミリーのAndroidマルウェアのDEX差分」 - http://t.co/JPdTlPxbkX #malwat

てきとう @tkito

「マルウエアの中の API ハッシュを解こう」 JPCERT/CC 遠山央さん #malwat

てきとう @tkito

LT募集w #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

『マルウエアの中の API ハッシュを解こう』 JPCERT/CC 遠山央さん #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

ドキュメント型のマルウェアはコードサイズが小さい #malwat

てきとう @tkito

文書型のマルウェアの70%くらいがシェルコード内でAPIハッシュを使っている #malwat

てきとう @tkito

APIハッシュを使うのは難読化とサイズをコンパクトにするのが目的 #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

・APIハッシュってなに？ 「４バイト値」「（おおよそ）APIごとに固有 」 #malwat

てきとう @tkito

APIハッシュはAPI名を1文字ずつrorしてaddしていく（一例） #malwat

てきとう @tkito

APIハッシュを解く実演 #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

・APIハッシュを解こう 「特定のDLLで定義されるAPIのAPIハッシュを列挙するスクリプトを作成しよう！」 #malwat

てきとう @tkito

1. dllからAPI名取り出してハッシュ値計算してヘッダファイルにする #malwat

てきとう @tkito

2. tilファイルを作る。hex-raysからtilib.exeを取得して使う。先ほど作成したヘッダファイルを入力として与える。 #malwat

NAKATSURU You @you0708

create_api_hash_enum.py で IDA enum のヘッダファイルを作成 → tilib.exe で til ファイル化 → IDA のディレクトリにつっこむ → 解析時に Type Library を読み込む → ウマー #malwat