今日の多くの OS がそうであるように、Windows にも自作のプログラムコードを特定のプロセスへ介入させることのできる「フック」という仕組みがあります。自分自身のプロセスをフックすることもできますが、他のプロセスをフックすることで通常のアプリケーションプログラミングの枠を超えた様々な興味深い処理の実現が可能となります。 ・所定のプロセスに対する Windows メッセージの監視・捕捉 ・所定のプロセスでの特定のイベントに呼応する自作コードの注入 ・既存のアプリケーションの所作を変更 etc. 「自作のコードをあるプロセスに介入させる」とはどういうことでしょう? メモリ上のモジュールイメージにアクセスしてマシン語命令を書き換えて・・という怪しげな方法もありそうですが、Windows では DLL を利用することで比較的容易にこの命題を解決できます。 このことを逆に考えると、自作の DLL
Page 1 Page 2 Page 3 Page 4 Page 1 What is "Unpack"?? パックって何?アンパックって何? 英和辞書を引いてみましょう。 [pack] 包み、束、群れ、潜水艦隊、一組のトランプ・・・ 潜水艦隊って・・・?リムパックとかアレ? まあ、一通り出た後に、 (電算)パックする(データをより小さいビットに圧縮させ記憶させる) これですかねぇ。 要するに、皆様おなじみのZIPとかLZHなどの圧縮ファイルの変り種の一つです。 ZipやLzhなどのアーカイバとはどう違うのか?それは、 主に実行ファイルのみを実行可能のまま圧縮し、 ファイルを解凍する場所がメモリ上であることです。 パックされたEXEファイル オリジナルファイルnotepad.exeをパックしたPacked_Notepad.exeとの比較。アイコンが同じままなのに注
不揮発性データの分析 で検出したバイナリcmd.exe, nvuhgam32.exe, tnvztlp32.exeについて,その動作を解析する. 1.ウィルススキャン 手っ取り早くバイナリの正体を知るには,アンチウィルスベンダーが無償で提供するオンラインウィルススキャンを用いる.カスペルスキー社提供のファイルスキャナ によると,cmd.exeを除くnvuhgam32.exe, tnvztlp32.exeはマルウェアであることがわかった. この2つのバイナリは,Rbotとあるようにボットネットクライアントであり,下記文献によると,SDBotというボットネットの亜種であるようだ.スパイウェアとしての機能もあるらしい. (ところで,この本は仮想ハニーポットの手法を,ハイインタラクション型・ローインタラクション型に分類しながら解 説しており,特に9章の「Detecting Honeypots」
前回のPE Golfはコンソール版のHello worldで、プロゴルファーがアリアリ97bytesを提示したところで終わっていた。 のだが物好きな人は結構いるみたいで、GUI版のトラックバックが来たのでちょっと見てみた。 しかし一年経つと全く覚えていない。とりあえず189bytesは勝てそうにないので、97bytes版と同じインチキをしてみることにしたところ112bytes版が完成。たぶんXP SP2でしか動きません。 BITS 32 ORG 0 ImageBase equ 0x00400000 user32dll equ 0x7c84f004 ; !! LoadLibraryA equ 0x7c801d77 ; !! MessageBoxA equ 0x77d3058a ; !! filealign equ 4 sectalign equ 4 ; must be 4 because o
はじめに 前回で解説したPEヘッダに引き続き、今回もEXEファイル内のデータフォーマットの一部分「セクション」に関する話題で突き進みます。 それにしても、EXEファイルは調べ手に休ませる余地を与えません。PEヘッダという大きな構造体をクリアしたと思ったら、お次は複数個も存在するセクションが登場するのです。PEヘッダは大きくても1つしかなかったのでまだ良いのですが、セクションだけは更に細分化されたデータ構造を指定するため、少々厄介です。更に、セクションにはデータサイズ・RVA(イメージベースからの相対オフセット)など、生データに関するより詳細な情報が保持されます。 経験豊富な方はこのような文章を読んでお気づきかもしれませんが、薄い資料でセクションに関するリサーチを行うと、メモリダンプと睨めっこという状況に陥ります。筆者は数週間の間、セクション周りのメモリダンプと暮らしたことがあるので間違いあ
目次 1. 基本概念 2. 概要 3. ファイル ヘッダ 3.1 MS-DOSのスタブ(イメージのみ) 3.2 シグネチャ(イメージのみ) 3.3 COFFファイル ヘッダ(オブジェクトとイメージ) 3.3.1 マシン タイプ 3.3.2 特性 3.4 オプション ヘッダ(通常はイメージのみ) 3.4.1 オプション ヘッダの標準フィールド(イメージのみ) 3.4.2 オプション ヘッダのWindows NT固有フィールド(イメージのみ) 3.4.3 オプション ヘッダのデータ ディクショナリ(イメージのみ) 4. セクション テーブル(セクション ヘッダ) 4.1 セクション フラグ 4.2 Grouped Sections(オブジェクトのみ) 5. 他のファイル内容 5.1 セクション データ 5.2 COFFの再配置(オブジェクトのみ) 5.2.1 タイプ インジケータ 5.3 CO
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く