第4回マルウェア解析勉強会( #malwat )のつぶやきまとめ

lumin @lumin

http://t.co/AVAWn9852O DOWNLOADの下に下戴がある、クリックしたくない #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

Pythonスクリプトをバイナリエディタ上で実行可能なので便利 #malwat

cipher @cipher_24i

FileInsight は結構動作が軽い… #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

すでに17の役に立つプラグインがある #malwat

てきとう @tkito

nmantani pluginには17の機能がある。どれも便利。 #malwat

てきとう @tkito

"ドキュメントフォルダの"FileInsightフォルダにプラグインは投入しましょう。Program Filesの中「ではありません」 #malwat

てきとう @tkito

RTFにマルウェア仕込む場合、HEXをテキストにして埋め込むことが多い。こういう時にHex Text to Binaryが超便利。 #malwat

ytk @JP1125

mantani さんぱねぇ！ #malwat

4y4$3 @data_head

これは使えそう。証明書周りのファイルいじるときとかもいいかも > HextText to Bin #malwat

てきとう @tkito

入力データをswapして処理する部分に脆弱性がある場合、それを突くコードもswapされている。こんな場合も対応可能。神。 #malwat

てきとう @tkito

xor keyを推測するプラグインも。 #malwat

フランドン畜舎内 ヨークシャイヤ @furandon_pig

FileInsighterで世界を目指す！という話。 #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

LT by @murachueさん #malwat

NAKATSURU You @you0708

典型的な DLL インジェクション。 #malwat

NAKATSURU You @you0708

途中生成される実行ファイルだと API ハッシュ使う意味が無いしねー。 #malwat

NAKATSURU You @you0708

まんたにさんの宣伝したのでそろそろマネージャとして正式なオファーが来るはず。 #malwat

NAKATSURU You @you0708

IDA Ruby は 2006年で更新停止中。誰か引き継げば良いと思う。 #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

FedExから素敵なメールが来た話ｗ #malwat

フランドン畜舎内 ヨークシャイヤ @furandon_pig

メールにEXEファイルが添付されていた時の反応。一般人→「キャー怖い！」そうでない人→「キャーIDAで解析！」ということか……。 #malwat

NAKATSURU You @you0708

これ系？ #malwat / Random Thoughts of Forensics: FakeAVLock - FedEx Shipping Issues - Revisited http://t.co/uNpXP5FC31

勇士Ｑ @ucq

http://t.co/dJqa3wFTrh #malwat

フランドン畜舎内 ヨークシャイヤ @furandon_pig

マルウェア解析は、場合によってバイナリファイルだけでなく、C&Cサーバとの通信や暗号化された通信データを追いかけることもある。思っていたよりも幅広い知識が要求されるようだ。 #malwat

てきとう @tkito

終了。 #malwat

ニシダマサタ @masata_masata

お疲れ様でした。終了！ #malwat

zaki @zaki_hmkc

終了ー。おつかれさまでした #malwat