Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab03のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。
PracticalMalwareAnalysis-Labs03 WriteUp
Posted on
Category: Security
Windowsの永続化メカニズムのメモ
Posted on
Windowsの永続化メカニズムについてのメモ。Windowsの永続化メカニズムは多岐に渡るが、個人的に押さえておきたいものをまとめた。
PracticalMalwareAnalysis-Labs01 WriteUp
Posted on
Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab01のWriteUp。まずは自分の解答 を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。
文字列と配列とポインタの逆アセンブルを見てみる
Posted on
文字列と配列とポインタの逆アセンブルを見てみた。ポインタに関してはデバッガでメモリ内のデータの動きを追ってみた。
アンチ・逆アセンブルを扱ったCTF問題のwriteup
Posted on
先日、アンチ・逆アセンブルを扱ったCTF問題を解いたので、そのwriteup。※このCTFチャレンジは個人的なツテで入手したもので、作問者からCTFのイベント名を公開しないことを条件にWrite Up記載の許可をもらっています。
TLS Callbacksを扱ったCTF問題のwriteup
Posted on
先日、TLS Callbacksを扱ったCTF問題を解いたので、そのwriteup。※このCTFチャレンジは個人的なツテで入手したもので、作問者からCTFのイベント名を公開しないことを条件にWrite Up記載の許可をもらっています。
DLL Search Order Hijacking vs DLL Side-Loading
Posted on
DLL Search Order HijackingとDLL Side-Loadingの違いについてのメモ。 どちらも正規の実行ファイルに悪意のあるDLLを読み込ませるという点は共通しているが、そこに至るまでの原理は厳密には異なる。 両者の違いについて自分なりに調べてまとめてみた。 ※ただし、近年では単純にEXEファイルが同一ディレクトリに存在する悪意のあるDLLをロードしていた場合、DLL Side-Loadingと呼称するケースが増えているようである。
プログラムのソースコードや逆アセンブルからRC4暗号の兆候を見つける
Posted on
RC4暗号が実装されたプログラムのソースコードや逆アセンブルにはどのような特徴があるかのメモ。RC4暗号についてはこちら。
CFF ExplorerでWinodwsファイルのASLRを無効化するには
Posted on
ASLR (Address space layout randomization)とは、実行プログラムがメモリ領域に格納するデータのアドレスをランダム化する技術のこと。 プログラムを攻撃から守るためのセキュリティ機能ではあるものの、プログラムをデバッガ等で解析する際は、アドレスが固定されていたほうが解析しやすい。 解析対象がWinodwsファイルの場合、CFF Explorerを利用してASLRを無効化できる。 ファイルをCFF Explorerで開き、Optional HeaderセクションからDllCharactersiticsのClick hereをクリックする。"DLL can move"の項にチェックが入っている場合はASLRが有効化されている。無効にしたい場合はチェックを外す。 参考https://www.sans.org/blog/tools-for-analyzing-static-properties-of-suspicious-files-on-windows/https://www.sans.org/blog/dealing-with-aslr-when-analyzing-malware-on-windows-8-1/
[Windows] ベース・アドレスのメモ
Posted on
Windowsにおいて、ベース・アドレスとはプログラムがメモリにロードされる際に使用されるデフォルトのアドレス位置のこと。