More Related Content
More from Satoshi Mimura (13)
Edomae 2015 - マルウェアを解析してみよう
- 2. 自己紹介
• 三村 聡志 a.k.a. 親方 (@mimura1133)
• Twitter : @mimura1133
• http://mimumimu.net/
• http://www.windowsinternals.moe/
• 普通の大学生やってます。
• CTF 入門者向け勉強会 “CTF for Beginners”
やってます。 ( http://2014.seccon.jp )
• 絶賛就活生(M1) です。
- 5. 解析手法
• 動的解析
• マルウェアを「動」かして解析する方法
• サンドボックス上で動かして眺めたり。
• Keyword: Cuckoo Sandbox, QEMU, etc…
• 静的解析
• マルウェアを動かさずに解析する方法
• 逆アセンブルして眺めたり。
• Keyword: IDA Pro, objdump, 逆アセンブル, etc…
- 7. 解析に必要なもの(今回使用したもの)
• Windows 7 x86, x64 – Service Pack 1
• 環境によって動くモノと動かないモノが出るので合わせる
• IDA Pro 6.7
• Pro 版は買うと世界が広がります。おすすめ。
• VMware Workstation
• 基本的には仮想マシン上で。潤沢なメモリと一緒に。
• 折れない心
• マルウェアの解析とプレゼン作成は昨日の深夜から。
- 20. 760c35a80d758f032d02cf4db12d3e55
-i, -k, -m, -d, -w が引数として取れる
• -i : 自身をサービスとして登録する
• -k : (サービスとして呼び出された際に実行)
→ サービスとしての main() を実行
→ 自身を taskhost??.exe としてコピーし
それらを –w, -m, -d を付けてそれぞれ起動
→ かつ MSExchangeIS サービスを停止する
- 37. 宣伝
• CTF for Beginners やりまぁす!
• CTF for ビギナーズ2015横浜 with mochigoma-
Beginners(2月15日)
• CTF for Beginners 2015 in Hiroshima
(2月21日)
• 横浜の募集は月曜日から開始する予定です。
• http://2014.seccon.jp/