アナライジングマルウェア出版記念イベント

5
前へ 1 2 3 ・・ 8 次へ
@hon53

IAT再構築できなかったらやっぱりOllyで追うしかないのかな #anamal

2010-12-17 19:30:11
ニシダマサタ @masata_masata

まさに解体ショー。IDAでバラされていく。 RT @tokoroten: マルウェアの解体ショーはじまるよー #anamal

2010-12-17 19:30:31
ところてん @tokoroten

keylog.txtというキーロガーらしいものがどこで使われているのかを探します。こうすることで、解析対象の文字列がプログラムのどこで使われているかを、探し当ててくれます。 #anamal

2010-12-17 19:30:54
ところてん @tokoroten

実際にどこで使われているかをコードとして確認することができます。一つ一つ確認することで、プログラムの全体像を確認することができます。いわゆる静的解析と呼ばれる解析です。非常に地味ですねw #anamal

2010-12-17 19:31:39
MutsumiSudoTakahashi @mtakahas

マグロをバラす人に大包丁が欠かせないように、解析にはOllyDbgなんだなあー。RT @tokoroten: マルウェアの解体ショーはじまるよー #anamal

2010-12-17 19:32:35
ところてん @tokoroten

本章の中ではもう少しスマートな方法を用意していて、一章の終わりのほうにブラックマンタと呼ばれるイミニティ用のプラグインの話を書いてます。 どのAPIがどこで呼ばれて、どの文字列が利用されたというのを表示してくれます。 #anamal

2010-12-17 19:33:20
tachi4439 @tachi4439

immunityのデモ見たかったなぁ #anamal

2010-12-17 19:33:30
ところてん @tokoroten

この後で話すようなVMWARE detectionや、デバッガ検知などの機能を持ったマルウェアに対しては三章で詳しく書かれていますが、アンチデバッグの組み合わせて使うことが最終的に必要になります。  #anamal

2010-12-17 19:34:27
ところてん @tokoroten

マルウェア解析は地道な作業ですが、いくつかのツールを使うことで効率化できます。 いくつかのツールの解析結果を照らし合わせることで、マルウェアが何をするのか特定していきます。 時間の短い効率的なやり方をこの本の中では説明に割いています。 #anamal

2010-12-17 19:35:06
nanbuwks @nanbuwks

地道な静的解析はツールが使えたら便利であるが、vmwareやデバッガを検知するタイプのマルウェアには地道な手法なども組み合わせて作業を行う #anamal <-?

2010-12-17 19:35:21
ところてん @tokoroten

質問タイム、 #anamal

2010-12-17 19:35:22
ところてん @tokoroten

質問:非常にたくさんのツールやパック方法があるようですが、ある手法が使われているときに、どのツールを使えばいいのかというものは経験則的に決めるしかないのか? #anamal

2010-12-17 19:36:31
ところてん @tokoroten

答え:いまOllyAdvancedというプラグインを表示しています。これをひとつ入れておくだけで複数のアンチデバッグに対応しています。 ひとつ入れておけばいくつかに対応するというものがありますので、これさえ入れておけば大丈夫というのがあるので利用します #anamal

2010-12-17 19:37:24
ところてん @tokoroten

それでもだめなアンチデバッグがあるので、そういったものは三章で対抗策を書いています。 #anamal

2010-12-17 19:37:40
ところてん @tokoroten

質問:文字列検索でヒットするような文字列はどれくらい信用していいんですか?ダミー的なものが入っていたりしますか? #anamal

2010-12-17 19:38:10
ところてん @tokoroten

答え:文字列そのものが読めるものがないということがおおい。かく乱させることを目的としたものは出会ったことがない。 CTFとかの特定の用途でしかみたことない。 #anamal

2010-12-17 19:39:12
tessy(てしー) @ SR600 Fukushima 予定 @tessy_jp

すごく大量にありますね。 OpenRCE OllyDbg Plugins http://www.openrce.org/downloads/browse/OllyDbg_Plugins #anamal

2010-12-17 19:39:21
ところてん @tokoroten

攻撃者の目的を考えながら解析を行う。不正な手段で金銭を稼ぐ人が利用しているので、彼らの目的を達成するためにどうすればいいかを考える。 #anamal

2010-12-17 19:39:36
ところてん @tokoroten

質問:この本の根本的な質問ですが、フリーツールを使った解析とあるが、実際に業務で使うのは有償のツールを使ってると思うが、フリーで十分なのか、有償の物が必要なのか? #anamal

2010-12-17 19:40:30
tessy(てしー) @ SR600 Fukushima 予定 @tessy_jp

フリーツールでも充分に解析できるよ #anamal

2010-12-17 19:41:08
ところてん @tokoroten

答え:フリーのツールで十分に解析可能だと確信しています。 フリーのツールで十分できるということを本の中で主張したかった。 #anamal

2010-12-17 19:41:17
ところてん @tokoroten

質問:こういうテクニックを知るのは面白いが、マルウェアが出てくるから仕方なく解析するという面があるが、自分たちから攻撃的に何かをつくっていくというのはあるか? #anamal

2010-12-17 19:42:22
tachi4439 @tachi4439

やっぱり会場には解析してる人の割合が多いのかな? #anamal

2010-12-17 19:42:22
ところてん @tokoroten

答え:最近Exploit-packと呼ばれるものがあります。ウェブサイトを見ただけで感染するもののセットが販売されています。 ブラックリスト機能があって、セキュリティベンダーからのアクセスを防止するというのがあります。 #anamal

2010-12-17 19:43:20
ところてん @tokoroten

ハニーポットを利用して攻撃的に巡回して、ブラックリストに日本のIPを載せることで日本のIPに対して感染が起こらないようにできないか?と先回りするようなことを考えている。 #anamal

2010-12-17 19:44:03
前へ 1 2 3 ・・ 8 次へ

いま話題のタグ

お金674 離婚364 鈴木亮平42 シティーハンター86 自民党2572 名探偵コナン496 絵師502 ゲゲゲの鬼太郎197 あすけん8 コスメ285 初見感想からしか取れない栄養素がある25 岸田文雄198 47 グルメ12637 社会16942