まさに解体ショー。IDAでバラされていく。 RT @tokoroten: マルウェアの解体ショーはじまるよー #anamal
2010-12-17 19:30:31keylog.txtというキーロガーらしいものがどこで使われているのかを探します。こうすることで、解析対象の文字列がプログラムのどこで使われているかを、探し当ててくれます。 #anamal
2010-12-17 19:30:54実際にどこで使われているかをコードとして確認することができます。一つ一つ確認することで、プログラムの全体像を確認することができます。いわゆる静的解析と呼ばれる解析です。非常に地味ですねw #anamal
2010-12-17 19:31:39マグロをバラす人に大包丁が欠かせないように、解析にはOllyDbgなんだなあー。RT @tokoroten: マルウェアの解体ショーはじまるよー #anamal
2010-12-17 19:32:35本章の中ではもう少しスマートな方法を用意していて、一章の終わりのほうにブラックマンタと呼ばれるイミニティ用のプラグインの話を書いてます。 どのAPIがどこで呼ばれて、どの文字列が利用されたというのを表示してくれます。 #anamal
2010-12-17 19:33:20この後で話すようなVMWARE detectionや、デバッガ検知などの機能を持ったマルウェアに対しては三章で詳しく書かれていますが、アンチデバッグの組み合わせて使うことが最終的に必要になります。 #anamal
2010-12-17 19:34:27マルウェア解析は地道な作業ですが、いくつかのツールを使うことで効率化できます。 いくつかのツールの解析結果を照らし合わせることで、マルウェアが何をするのか特定していきます。 時間の短い効率的なやり方をこの本の中では説明に割いています。 #anamal
2010-12-17 19:35:06地道な静的解析はツールが使えたら便利であるが、vmwareやデバッガを検知するタイプのマルウェアには地道な手法なども組み合わせて作業を行う #anamal <-?
2010-12-17 19:35:21質問:非常にたくさんのツールやパック方法があるようですが、ある手法が使われているときに、どのツールを使えばいいのかというものは経験則的に決めるしかないのか? #anamal
2010-12-17 19:36:31答え:いまOllyAdvancedというプラグインを表示しています。これをひとつ入れておくだけで複数のアンチデバッグに対応しています。 ひとつ入れておけばいくつかに対応するというものがありますので、これさえ入れておけば大丈夫というのがあるので利用します #anamal
2010-12-17 19:37:24質問:文字列検索でヒットするような文字列はどれくらい信用していいんですか?ダミー的なものが入っていたりしますか? #anamal
2010-12-17 19:38:10答え:文字列そのものが読めるものがないということがおおい。かく乱させることを目的としたものは出会ったことがない。 CTFとかの特定の用途でしかみたことない。 #anamal
2010-12-17 19:39:12すごく大量にありますね。 OpenRCE OllyDbg Plugins http://www.openrce.org/downloads/browse/OllyDbg_Plugins #anamal
2010-12-17 19:39:21攻撃者の目的を考えながら解析を行う。不正な手段で金銭を稼ぐ人が利用しているので、彼らの目的を達成するためにどうすればいいかを考える。 #anamal
2010-12-17 19:39:36質問:この本の根本的な質問ですが、フリーツールを使った解析とあるが、実際に業務で使うのは有償のツールを使ってると思うが、フリーで十分なのか、有償の物が必要なのか? #anamal
2010-12-17 19:40:30答え:フリーのツールで十分に解析可能だと確信しています。 フリーのツールで十分できるということを本の中で主張したかった。 #anamal
2010-12-17 19:41:17質問:こういうテクニックを知るのは面白いが、マルウェアが出てくるから仕方なく解析するという面があるが、自分たちから攻撃的に何かをつくっていくというのはあるか? #anamal
2010-12-17 19:42:22答え:最近Exploit-packと呼ばれるものがあります。ウェブサイトを見ただけで感染するもののセットが販売されています。 ブラックリスト機能があって、セキュリティベンダーからのアクセスを防止するというのがあります。 #anamal
2010-12-17 19:43:20ハニーポットを利用して攻撃的に巡回して、ブラックリストに日本のIPを載せることで日本のIPに対して感染が起こらないようにできないか?と先回りするようなことを考えている。 #anamal
2010-12-17 19:44:03