Upgrade to Pro — share decks privately, control downloads, hide ads and more …

なぜマルウェア解析は自動化できないのか

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Yuma Kurogome Yuma Kurogome
August 14, 2016
Programming
6
4.3k

 なぜマルウェア解析は自動化できないのか

セキュリティ・キャンプ全国大会2016 講義資料

Avatar for Yuma Kurogome

Yuma Kurogome

August 14, 2016
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
Avatar for Yuma Kurogome ntddk
16
28k
死にゆくアンチウイルスへの祈り
Avatar for Yuma Kurogome ntddk
55
39k
Windows Subsystem for Linux Internals
Avatar for Yuma Kurogome ntddk
10
3.1k
Linear Obfuscation to Drive angr Angry
Avatar for Yuma Kurogome ntddk
4
880
CAPTCHAとボットの共進化
Avatar for Yuma Kurogome ntddk
2
1.2k
マルウェアを機械学習する前に
Avatar for Yuma Kurogome ntddk
3
1.7k
Peeling Onions
Avatar for Yuma Kurogome ntddk
7
3.7k
仮想化技術を用いたマルウェア解析
Avatar for Yuma Kurogome ntddk
8
27k
An Introduction to Drawbridge(ja)
Avatar for Yuma Kurogome ntddk
11
3.4k

Other Decks in Programming

See All in Programming
カスタマーサクセス業務を変革したヘルススコアの実現と学び
Avatar for Tomoyuki Hamaguchi _hummer0724
0
410
React 19でつくる「気持ちいいUI」- 楽観的UIのすすめ
Avatar for Hiroshi Morishige himorishige
11
5.8k
なぜSQLはAIぽく見えるのか/why does SQL look AI like
Avatar for florets1 florets1
0
390
GISエンジニアから見たLINKSデータ
Avatar for nokonoko1203 nokonoko1203
0
190
Oxlintはいいぞ
Avatar for Yuji Yamaguchi yug1224
5
1.1k
Patterns of Patterns
Avatar for Denys Poltorak denyspoltorak
0
1.3k
Implementation Patterns
Avatar for Denys Poltorak denyspoltorak
0
270
コントリビューターによるDenoのすゝめ / Deno Recommendations by a Contributor
Avatar for petamoriken / 森建 petamoriken
0
200
組織で育むオブザーバビリティ
Avatar for ryotaro kobayashi ryota_hnk
0
150
20260127_試行錯誤の結晶を1冊に。著者が解説 先輩データサイエンティストからの指南書 / author's_commentary_ds_instructions_guide
Avatar for nash_efp nash_efp
0
680
Graviton と Nitro と私
Avatar for maroon1st maroon1st
0
180
Denoのセキュリティに関する仕組みの紹介 (toranoana.deno #23)
Avatar for uki00a uki00a
0
260

Featured

See All Featured
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
200
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
37
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
46k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
170
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
59
42k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
260
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
1
1.5k

Transcript

  1. None
  2. None
  3. None
  4. None
  5. None

  6. • • • • • • • • • •

    • • • •

  7. • • • •

  8. • • • • • • • • • •

    • • • •

  9. • • • • • • • • • •

    • • •
  10. None

  11. • • • • • • • • • •

    • • • • • • • • • • • • • • • • • • • •

  12. • • • • • •

  13. typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; ... DWORD SizeOfCode; //

    コード全体のサイズ ... DWORD AddressOfEntryPoint; // エントリポイントのアドレス (RVA) DWORD BaseOfCode; // コード領域のベースアドレス (RVA) DWORD BaseOfData; // グローバル変数などの値が確定していないデータ領域のベースアドレス (RVA) DWORD ImageBase; // 仮想メモリにロードされるときの開始(ベース)アドレス // RVAはImageBaseのアドレスを引いた相対アドレス ... DWORD SizeOfImage; // メモリにロードされたときの全体サイズ DWORD SizeOfHeaders; ... IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // インポート情報やエクスポート情報などへのアドレス (RVA) } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;
  14. None

  15. • • • • • •

  16. None

  17. • • • • • • •

  18. • • • • • • • •

  19. • • • •

  20. • MOV EBX, EAX ADD EAX, $0x4 … MOV EBX,

    EAX ADD EAX, $0x4 … • • • mov_i32 ebx, eax movi_i32 tmp1, 0x4 add_i32 eax, tmp1 •

  23. None
  24. None

  25. • • • • • • • • •

  26. • • •

  27. • • • • •

  28. • • • • •

  29. None

  30. • • • • •

  31. • • • • • •

  32. • •

  33. • • • • • • • •

  34. from datetime import date from hashlib import sha256 def dyre_dga(num,

    date_str=None): if None == date_str: date_str = '{0.year}-{0.month}-{0.day}'.format(date.today()) tlds = ['.cc', '.ws', '.to', '.in', '.hk', '.cn', '.tk', '.so'] hash = sha256('{0}{1}'.format(date_str, num)).hexdigest()[3:36] replace_char = chr(0xFF & ((num % 26) + 97)) return '{0}{1}{2}:443'.format(replace_char, hash, tlds[num % len(tlds)]) todays_domains = [dyre_dga(i) for i in xrange(333)]

  35. • • • •

  36. • •

  37. • • •

  38. None
  39. None

  40. • • • • • • • • •

  41. • • • •

  42. • •

  43. cmp eax, 0x7E0 je 0xdeadbaad if(x!=2016) Invalid. ASSERT( INPUT_*_*_* =0hex7E0

    ); (a1 or !a2 or a3 … or an) and (b1 or b2 or !b3 … or !bn) and …
  44. None

  45. • •

  47. None

  48. • •

  49. None

  51. None

  52. • • • • • •

  53. • • •