mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-analysis_ref_and_memo.md
This commit is contained in:
parent
632d3b7de8
commit
d1a9848181
@ -240,6 +240,19 @@ Emotetのc2通信部分のエミュレータ<br>
|
||||
[Writing Malware Traffic Decrypters for ISFB/Ursnif](https://labs.sentinelone.com/writing-malware-traffic-decrypters-for-isfb-ursnif/)
|
||||
|
||||
# Binary Analysis
|
||||
### Unpacking
|
||||
- アンパックの流れ
|
||||
- OEPの特定し,OEPまで実行
|
||||
- pushad命令,popad命令に着目。popad命令後のjmpでOEPに遷移する可能性がある(pushadした際のスタックのアドレスにハードウェアブレークポイントを設定することで監視)
|
||||
- 動的に生成された領域に着目(領域にアクセスし,実行されるかをメモリブレークポイントを設定することで監視)
|
||||
- WinMainCRTStarup,WinMainや関数のプロローグとの類似性からヒューリスティックに判断
|
||||
- ツールを利用
|
||||
- プロセスメモリのダンプ
|
||||
- 基本的にツールを用いる
|
||||
- IATの再構築(展開ルーチンのIAT再構築とは別)
|
||||
- IATは展開ルーチンでローダによってそのときの実際のAPIのアドレスに書き換えられているため,ロード前に戻す必要がある
|
||||
- PEヘッダはパックされたコードのIATを示しているので,新たににインポートセクションを追加し,そのセクションを認識するようにPEヘッダを修正する
|
||||
- 基本的にツールを用いる
|
||||
### Symbolic Execurtion
|
||||
to do...
|
||||
|
||||
|
Loading…
Reference in New Issue
Block a user