mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-analysis_ref_and_memo.md
This commit is contained in:
parent
632d3b7de8
commit
d1a9848181
@ -240,6 +240,19 @@ Emotetのc2通信部分のエミュレータ<br>
|
|||||||
[Writing Malware Traffic Decrypters for ISFB/Ursnif](https://labs.sentinelone.com/writing-malware-traffic-decrypters-for-isfb-ursnif/)
|
[Writing Malware Traffic Decrypters for ISFB/Ursnif](https://labs.sentinelone.com/writing-malware-traffic-decrypters-for-isfb-ursnif/)
|
||||||
|
|
||||||
# Binary Analysis
|
# Binary Analysis
|
||||||
|
### Unpacking
|
||||||
|
- アンパックの流れ
|
||||||
|
- OEPの特定し,OEPまで実行
|
||||||
|
- pushad命令,popad命令に着目。popad命令後のjmpでOEPに遷移する可能性がある(pushadした際のスタックのアドレスにハードウェアブレークポイントを設定することで監視)
|
||||||
|
- 動的に生成された領域に着目(領域にアクセスし,実行されるかをメモリブレークポイントを設定することで監視)
|
||||||
|
- WinMainCRTStarup,WinMainや関数のプロローグとの類似性からヒューリスティックに判断
|
||||||
|
- ツールを利用
|
||||||
|
- プロセスメモリのダンプ
|
||||||
|
- 基本的にツールを用いる
|
||||||
|
- IATの再構築(展開ルーチンのIAT再構築とは別)
|
||||||
|
- IATは展開ルーチンでローダによってそのときの実際のAPIのアドレスに書き換えられているため,ロード前に戻す必要がある
|
||||||
|
- PEヘッダはパックされたコードのIATを示しているので,新たににインポートセクションを追加し,そのセクションを認識するようにPEヘッダを修正する
|
||||||
|
- 基本的にツールを用いる
|
||||||
### Symbolic Execurtion
|
### Symbolic Execurtion
|
||||||
to do...
|
to do...
|
||||||
|
|
||||||
|
Loading…
Reference in New Issue
Block a user