CTFのためのバイナリ解析

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

マルウェア解析の流れ

  • 検体が既知のマルウエアかどうかを判別する
    • データベース化された既知のマルウエアと検体の比較を高速に実行するため、マルウエア検体のハッシュ値が利用されるが、従来のハッシュ関数では、類似の検体は全く異なる検体として扱われる
    • そのため、fuzzy hash関数(ssdeep)や、PE(portable executable)のインポートテーブルから値を算出するimphash(import hash)が利用される
      関連:impfuzy
続きを読む