マルウエアの作者は,実行可能ファイルの自動アンパックを防ぐために独自の策やパッカーを利用することが多い。これはアンチウイルス用のシグネチャの開発や,詳細な解析を遅らせるための試みである。シグネチャ・ベースのスキャナを回避するためにパックされたバイナリを変更するツール「スクランブラー」も同様に使用される。実際,「[MSLRH]」という公開されているプロテクタは,実行可能ファイルをパックしてデバッグやダンプといった解析手法から逃れ,バイト奪取機構でファイルを保護するだけでなく,解析ツール「PEiD」やその他シグネチャ・ベースのスキャナと同様,実行可能ファイルを表示させるプロテクタを選べる。[MSLRH]は一部のアナリストと自動アンパッカーを払いのけ,実行可能ファイルのエントリ・ポイントに同パッカーの一般的なバイト・シーケンスを格納する。また,このタイプのツールは,正当なソフトウエアの作者達が,
The stub which is imbedded in each UPX compressed program is part of UPX and UCL, and contains code that is under our copyright. The terms of the GNU General Public License still apply as compressing a program is a special form of linking with our stub. と、「プログラムの圧縮は、われわれのstubとリンクする特殊な形態であるため、(リンクすると感染する)GPLは(圧縮後のプログラムに原則)適用されますよ」としているが、同時に例外規定(SPECIAL EXCEPTION FOR COMPRESSED EXECUTABLES)が設けられていて、
米SANS Instituteによれば,仮想マシンを検出する機能を備えた悪質なプログラムが最近増えているという。同組織のスタッフが現地時間11月19日,公式ブログで明らかにした。解析されることを防ぐために,仮想マシン上では動作しなかったり,自分自身を消去したりする(関連記事:「ボットネットは“目立たない”ように工夫を凝らす)。仮想マシンを検出する機能の実装には,商用ツールが使われている場合もあるという。 ウイルスやボットといった悪質なプログラムの“捕獲”には,仮想マシンが利用されることが多い。仮想マシン上のゲストOSで“罠(ハニーポット)”を稼働させ,悪質なプログラムをわざと感染させて,その挙動などを解析する。 それを防ぐために,最近の悪質なプログラムは,仮想マシンの検出機能を備え始めた。SANS Instituteのスタッフが最近捕獲した悪質なプログラム12種のうち3種が,仮想マシンVM
McAfee+ Products Worry-free protection for your privacy, identity and all your personal devices. Individual and family plans McAfee+ Ultimate Our most comprehensive privacy, identity and device protection with $1M ID theft coverage. Total Protection Protection for your devices with identity monitoring and VPN Device Protection Antivirus Virtual Private Network (VPN) Mobile Security Free Tools & D
Page 1 Page 2 Page 3 Page 4 Page 1 What is "Unpack"?? パックって何?アンパックって何? 英和辞書を引いてみましょう。 [pack] 包み、束、群れ、潜水艦隊、一組のトランプ・・・ 潜水艦隊って・・・?リムパックとかアレ? まあ、一通り出た後に、 (電算)パックする(データをより小さいビットに圧縮させ記憶させる) これですかねぇ。 要するに、皆様おなじみのZIPとかLZHなどの圧縮ファイルの変り種の一つです。 ZipやLzhなどのアーカイバとはどう違うのか?それは、 主に実行ファイルのみを実行可能のまま圧縮し、 ファイルを解凍する場所がメモリ上であることです。 パックされたEXEファイル オリジナルファイルnotepad.exeをパックしたPacked_Notepad.exeとの比較。アイコンが同じままなのに注
不揮発性データの分析 で検出したバイナリcmd.exe, nvuhgam32.exe, tnvztlp32.exeについて,その動作を解析する. 1.ウィルススキャン 手っ取り早くバイナリの正体を知るには,アンチウィルスベンダーが無償で提供するオンラインウィルススキャンを用いる.カスペルスキー社提供のファイルスキャナ によると,cmd.exeを除くnvuhgam32.exe, tnvztlp32.exeはマルウェアであることがわかった. この2つのバイナリは,Rbotとあるようにボットネットクライアントであり,下記文献によると,SDBotというボットネットの亜種であるようだ.スパイウェアとしての機能もあるらしい. (ところで,この本は仮想ハニーポットの手法を,ハイインタラクション型・ローインタラクション型に分類しながら解 説しており,特に9章の「Detecting Honeypots」
日本語化パッチ作成方法~その3(Unpack編) 日本語化の際の一番よくある問題は実行ファイルが圧縮化されていて リソースの書き換えが出来ない場合です。 最近のソフトは実行ファイルが圧縮されている場合が非常に多いです。 その理由はファイルサイズの削減、リソース改変の防止が主な目的と思われます。 日本語化目的とは言っても実行ファイルの解凍はかなりグレーゾーンな作業です。 実際、日本語化そのものもグレーゾーンです。 そのことを念頭に置いた上でUnpackの作業手順はこんな感じです。 1.Packerの判別 一番最初の問題はそのファイルがどんなPackerで圧縮されているか調べることです。 Packerを調べる為には、Quick Unpackのような判別機能を持ったUnpackerや Stud_PEのような判別ソフトを使用します。 実際の判別はこんな感じです。 Quick Unpack Stu
Packing and unpacking, material which I hope will be welcomed by the more discerning reverse engineers out there, however updates will be fairly infrequent I'm afraid ;-(. I'll use this introductory space to explain briefly a little something about 'packing'. The 'packing' process is usually a simple one, all the protector needs is a copy of his/her program and the packing program itself, some pac
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く