アナライジングマルウェアイベント

オライリージャパンから発売された、アナライジングマルウェア。

http://www.oreilly.co.jp/books/9784873114552/

これに伴い行われたイベントに行きました。

観客も真剣に聞いたり、ツイートしたり、で一体感が楽しかった。
著者にも会え、いい話が色々聞けました。

発表者の方々、開催者の方々、おつかれ様でした。

IDA ProとOllydbgでたいていのことはできますね。

VMwareを動かすとwindbgが使えるから試してみないと。

IDA ProによるDebugは最近できるようになってので、まだまだメジャーじゃないみたいなので、IDA ProでのDebugに慣れると解析効率があがるのかも。

慣れたOllydbgが皆さんいいみたいでしたが。

ちなみにIDA ProのプラグインであるHex-Rays Decompilerを使えば、マルウェアのアンパックを解いた後かけると、C言語っぽく書いてくれて非常に分かりやすくなります。
有償なので、約25万円もしますが。

使ったことがありますが、こいつはかなり使いやすいです。

また、本書にも載っているVSのdumpbinはバイナリの確認に非常に便利ですのでオススメです。


こういうセキュリティ系のタメになるイベントは少ないので、可能な限り参加したい。

去年今年のAVTokyoは仕事で行けず残念でした。

もっとOllydbgをぐりぐりやろうと思った。

この前までFirefoxをハックしてたが、SQLiteになって興味無くなったし、最近はPHPプログラミングばかりだったからなぁ。


今日は、IDA Pro5.0 フリー版のダウンロードが普段より100件は増えるとみた！
リンク先
http://www.hex-rays.com/idapro/idadownfreeware.htm


ちなみにamazonのオライリー本の順位では現在2位、全体では、1,764位に浮上した(2010/12/17 22:01)。


流れをまとめておくと、

星澤さん
アナライジング・マルウェアの紹介。とにかく買って！と。

新井さん
マルウェアの表層確認。
stringsとか、PEiDとか、Ollydbgのプラグインとかの紹介。
フリーでほとんど事足りる！

川古谷さん
WinDbgを使って、カーネルAPIをトレーサして楽しむ。
重くなるから気をつけて、と。

青木さん
アンパックの実演。Gumblarで。
とにかくOriginal Entry Pointを見つけて、本体を抜き出す。
みなさん、とにかくアンパックしてみて下さい。
パズルの楽しさが分かるはず。

#以前、自分で解析した時、UPX2.xは大丈夫だったが、UPX3.0でやったらpopad命令が見つからなかった…。
#もう一度挑戦してみよう。
#アンパッカーを使えばいいというご意見は、最終的な話で…。

岩村君
マルウェアの分類。
呼び出す挙動とかコードとかから分類し、マルウェアの特徴を洗い出す。
これによって、マルウェアの大まかな分類ができ、デバッグの目安になる。
#アンチウィルスベンダーの方、同じマルウェアなのに同じベンダー内での
#名称を異なるものにしないでいただけたら助かります。
マルウェアは結構使いまわされていて似ている。
3Dでグリグリと表示。どうだ！


こんな感じでした。