PracticalMalwareAnalysis Lab17-02.dll Full Analysis

Practical Malware Analysis (以後、PMA) Lab17-02.dll の詳細解析のメモ。 Lab 17-2 はアンチ・デバッグに焦点が当てられていたが、Lab17-02.dllには他にも多様な機能が実装されており、これらの機能の解析は読者への宿題として詳しくは触れられなかった。 PMAによると以下の機能を擁しているとのこと。 This malware is an extensive backdoor with considerable functionality, including keylogging, capturing audio and video, transferring files, acting as a proxy, retrieving system information, using a reverse command shell, injecting DLLs, and downloading and launching commands. Lab17-02.dllの詳細な解析を試みてみた。 ※自分は本職のマルウェア解析者ではないので、解析内容の正確性については留意されたし。

PracticalMalwareAnalysis-Labs21 WriteUp

Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab21のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。 ちなみに、これが最終のラボになる。

TCPフラグ値 早見表

ネットワーク通信のフロー情報から、パケットにセットされたTCPフラグを読み取るための早見表。

PracticalMalwareAnalysis-Labs20 WriteUp

Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab20のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。