アナライジングマルウェアイベント [セミナー]
オライリージャパンから発売された、アナライジングマルウェア。
http://www.oreilly.co.jp/books/9784873114552/
これに伴い行われたイベントに行きました。
観客も真剣に聞いたり、ツイートしたり、で一体感が楽しかった。
著者にも会え、いい話が色々聞けました。
発表者の方々、開催者の方々、おつかれ様でした。
IDA ProとOllydbgでたいていのことはできますね。
VMwareを動かすとwindbgが使えるから試してみないと。
IDA ProによるDebugは最近できるようになってので、まだまだメジャーじゃないみたいなので、IDA ProでのDebugに慣れると解析効率があがるのかも。
慣れたOllydbgが皆さんいいみたいでしたが。
ちなみにIDA ProのプラグインであるHex-Rays Decompilerを使えば、マルウェアのアンパックを解いた後かけると、C言語っぽく書いてくれて非常に分かりやすくなります。
有償なので、約25万円もしますが。
使ったことがありますが、こいつはかなり使いやすいです。
また、本書にも載っているVSのdumpbinはバイナリの確認に非常に便利ですのでオススメです。
こういうセキュリティ系のタメになるイベントは少ないので、可能な限り参加したい。
去年今年のAVTokyoは仕事で行けず残念でした。
もっとOllydbgをぐりぐりやろうと思った。
この前までFirefoxをハックしてたが、SQLiteになって興味無くなったし、最近はPHPプログラミングばかりだったからなぁ。
今日は、IDA Pro5.0 フリー版のダウンロードが普段より100件は増えるとみた!
リンク先
http://www.hex-rays.com/idapro/idadownfreeware.htm
ちなみにamazonのオライリー本の順位では現在2位、全体では、1,764位に浮上した(2010/12/17 22:01)。
流れをまとめておくと、
星澤さん
アナライジング・マルウェアの紹介。とにかく買って!と。
新井さん
マルウェアの表層確認。
stringsとか、PEiDとか、Ollydbgのプラグインとかの紹介。
フリーでほとんど事足りる!
川古谷さん
WinDbgを使って、カーネルAPIをトレーサして楽しむ。
重くなるから気をつけて、と。
青木さん
アンパックの実演。Gumblarで。
とにかくOriginal Entry Pointを見つけて、本体を抜き出す。
みなさん、とにかくアンパックしてみて下さい。
パズルの楽しさが分かるはず。
#以前、自分で解析した時、UPX2.xは大丈夫だったが、UPX3.0でやったらpopad命令が見つからなかった…。
#もう一度挑戦してみよう。
#アンパッカーを使えばいいというご意見は、最終的な話で…。
岩村君
マルウェアの分類。
呼び出す挙動とかコードとかから分類し、マルウェアの特徴を洗い出す。
これによって、マルウェアの大まかな分類ができ、デバッグの目安になる。
#アンチウィルスベンダーの方、同じマルウェアなのに同じベンダー内での
#名称を異なるものにしないでいただけたら助かります。
マルウェアは結構使いまわされていて似ている。
3Dでグリグリと表示。どうだ!
こんな感じでした。
http://www.oreilly.co.jp/books/9784873114552/
これに伴い行われたイベントに行きました。
観客も真剣に聞いたり、ツイートしたり、で一体感が楽しかった。
著者にも会え、いい話が色々聞けました。
発表者の方々、開催者の方々、おつかれ様でした。
IDA ProとOllydbgでたいていのことはできますね。
VMwareを動かすとwindbgが使えるから試してみないと。
IDA ProによるDebugは最近できるようになってので、まだまだメジャーじゃないみたいなので、IDA ProでのDebugに慣れると解析効率があがるのかも。
慣れたOllydbgが皆さんいいみたいでしたが。
ちなみにIDA ProのプラグインであるHex-Rays Decompilerを使えば、マルウェアのアンパックを解いた後かけると、C言語っぽく書いてくれて非常に分かりやすくなります。
有償なので、約25万円もしますが。
使ったことがありますが、こいつはかなり使いやすいです。
また、本書にも載っているVSのdumpbinはバイナリの確認に非常に便利ですのでオススメです。
こういうセキュリティ系のタメになるイベントは少ないので、可能な限り参加したい。
去年今年のAVTokyoは仕事で行けず残念でした。
もっとOllydbgをぐりぐりやろうと思った。
この前までFirefoxをハックしてたが、SQLiteになって興味無くなったし、最近はPHPプログラミングばかりだったからなぁ。
今日は、IDA Pro5.0 フリー版のダウンロードが普段より100件は増えるとみた!
リンク先
http://www.hex-rays.com/idapro/idadownfreeware.htm
ちなみにamazonのオライリー本の順位では現在2位、全体では、1,764位に浮上した(2010/12/17 22:01)。
流れをまとめておくと、
星澤さん
アナライジング・マルウェアの紹介。とにかく買って!と。
新井さん
マルウェアの表層確認。
stringsとか、PEiDとか、Ollydbgのプラグインとかの紹介。
フリーでほとんど事足りる!
川古谷さん
WinDbgを使って、カーネルAPIをトレーサして楽しむ。
重くなるから気をつけて、と。
青木さん
アンパックの実演。Gumblarで。
とにかくOriginal Entry Pointを見つけて、本体を抜き出す。
みなさん、とにかくアンパックしてみて下さい。
パズルの楽しさが分かるはず。
#以前、自分で解析した時、UPX2.xは大丈夫だったが、UPX3.0でやったらpopad命令が見つからなかった…。
#もう一度挑戦してみよう。
#アンパッカーを使えばいいというご意見は、最終的な話で…。
岩村君
マルウェアの分類。
呼び出す挙動とかコードとかから分類し、マルウェアの特徴を洗い出す。
これによって、マルウェアの大まかな分類ができ、デバッグの目安になる。
#アンチウィルスベンダーの方、同じマルウェアなのに同じベンダー内での
#名称を異なるものにしないでいただけたら助かります。
マルウェアは結構使いまわされていて似ている。
3Dでグリグリと表示。どうだ!
こんな感じでした。
コメント 0