2017年07月23日

マルウェア解析環境準備のために読む(その1)「アナライジング・マルウェア ―フリーツールを使った感染事案対処」

環境を準備するに辺り、再読中です。
書店でも、目立たたないところに置かれていることの多い)「アナライジング・マルウェア ―フリーツールを使った感染事案対処」ですが、
既に隠れたロングセラーになっているようです。
(買う人がある程度限られているので、目立ちませんが)

◎まとめ

1章 ファイルをダウンロードするマルウェアの解析
基本 Win32APIを追うことを優先


マルウェア解析 = マルウェアの目的や機能を明らかにする調査のこと。
効率的かる素早く明らかに。

感染拡大手段の有無?

RCP TOの有無

バックドアの有無?

bind,listen,accept

◆マルウェア解析のプロセス
1.マルウェア検体の入手
2.解析専用環境設置
3.動的解析(ブラックボックス解析)
4.パックされたマルウェア検体の解凍
Packer
アンパック(unpack)

5.静的解析(コードレベル解析、ホワイトボックス解析)
逆アセンブラ(ディスアセンブラ),デバッガ

6.マルウェアの特徴を特定
デコンパイラの併用

1.4.2 専門Webサイトから入手する

VX heavens
Offensive Computing =>ここ
Shadowserver

1.4.3 自分でハニーポット運用、入手

nepenthes

Capture-HPC


1.5 ファイル判別
Windows上で動作するマルウェア PE(Portable Executable)形式の実行可能(EXE)ファイル

例外あり。EXE以外のPEファイルフォーマットのファイル
DLL
SCR
ActiveX Control(OCX)
.SYS(ドライバファイル)

1.9.2 デバッガの基礎
TitanEngine アンパック自動化フレームワーク
アンパッカーを作成可能

Immunity Debugger フリーのデバッガ
Pythonを利用したプラグインを自由に開発可能

◎アナライジング・マルウェア ―フリーツールを使った感染事案対処:円
アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing) -
アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing) -

◎リバースエンジニアリング ―Pythonによるバイナリ解析技法:3,456円
リバースエンジニアリング ―Pythonによるバイナリ解析技法 (Art Of Reversing) -
リバースエンジニアリング ―Pythonによるバイナリ解析技法 (Art Of Reversing) -

◎サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考:3,240円
サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考 -
サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考 -

posted by アンドレアス at 11:51| Comment(0) | TrackBack(0) | TIPS | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック