うちも、あいだぷろ RT @luffy_kuroneko: 弊社はあいだぷろって言ってるなぁ。 #01binarians
2010-12-18 13:48:47Winmainを見るときと同じような感覚でスレッドも解析していく。 全体を見ていくことで、バックドアやダウンローダーといったことがわかる。 バックドアの場合、どういったコマンドを利用する可能性があるのかは詳しく見ないとわからない。 #01binarians
2010-12-18 13:49:19コードが見ている途中で関数があると、入っていって見たくなるが、中にさらに関数があると、深く潜っていってしまって迷子になってしまう。 #01binarians
2010-12-18 13:50:01多くのマルウェアを見ているとわかると、同じようなつくりをしている。 はじめのほうはAPIのアドレスを取得したりしている。 慣れてくると、こういったことがわかるようになる。 それほど詳しく見なくても、すぐにあたりをつけられるようになる。 #01binarians
2010-12-18 13:50:52グローバル変数を参照することがある。 関数の中だけ見ていてもわからない。 アドレスにラベルをつけていく。 #01binarians
2010-12-18 13:51:42えっ!?あと10分!! ごめんなさい、Tipsにはたどり着きません。 どうしましょうw 無理なものは仕方ない。 話せるところまで話して時間で終わりとします。 #01binarians
2010-12-18 13:52:24クロスリファレンスでどこで利用されているかわかるので、グローバル変数を経由して、どこで参照されているのかを調べて、その後何に使われているのかを調べる。 #01binarians
2010-12-18 13:53:15OllyとIDAのゴールデンコンビで解析をしていく。 Ollyで動かして、IDAにメモ。Ollyで見えたスタックをIDAのコメントに貼り付けたりする。 #01binarians
2010-12-18 13:54:11インターネット上のホストと通信するものは、送信データがどこから取った値を基に送信データを作成しているのかを調べる。 最近私が見ているものはSpywareは減ってきて、バックドアが多い。 感染PCを固体認識できるものを送信している。MAC #01binarians
2010-12-18 13:55:14受信したデータが何だった場合、何をするのかを解析する。 このあたりは解析のレベルで言うと少し難しいところかと思う。 実際にデータを送る場合はやりやすい。 実際にインターネットに接続してリアルのデータを元に何をしているのかを解析する。 #01binarians
2010-12-18 13:56:57わかりにくいのは通信先が応答しない場合。 解析することが難しい。 ダミーのサーバに接続させて、適当なデータを受信させてOllyで追うということを行う。 #01binarians
2010-12-18 13:57:36ホストにつながらない場合は、ダミーサバーとして利用する。BlackJumboDogやNetCatを利用する。 #01binarians
2010-12-18 13:58:32解析レポートを書く際には、全体を理解するためにわかりやすい物を書く必要がある。 ウォーターフォールモデルを逆にたどるようなことを意識しながら書く。 コード->設計書->要求仕様の順に考えていく。 #01binarians
2010-12-18 13:59:29コードレベルで詳しく見ていると、レポートにコードレベルのことを書きたくなってしまうが、できるだけ設計書にどういうことが書いてあるのか、何をやりたくてこのプログラムを作成したのか、ということを意識してレポートを書く。 #01binarians
2010-12-18 14:00:27