1. マルウェアぺろぺろ解析講座
そのいち
〜仮想環境下では暴れないけど質問ある？〜

2. Anonymousの仮面の人でーす
✌('ω')✌ｲｴｴｴｴｴｗｗ

3. Who are you ?
・@reiji1020(れいじ)
・長崎県立大学情報メディア学科2年
・☝( ◠ ‿ )☝< 社畜か…ザコめ…
◠
・今日も本当は仕事でした

4. 近況
彼女がいない
↓
遊ぶ相手がいない
↓
休日が暇で暇で仕方ない
↓
＿人人人人人人人人人人人人＿
＞ 突然のマルウェア解析 ＜
￣Y^Y^Y^Y^Y^Y^Y^Y^Y^Y￣

5. 3次元女性とマルウェアちゃんの共通点
3次元女性 マルウェアたん
●
ヤンデレ ● ヤンデレ
●
ツンデレ (感染的な意味で)
● ツンデレ
●
ガードが硬い (パック的な意味で)
● ガードが硬い
(アンパック的な意
味で)

6. つまり
3次元女性＝彼女
3次元女性＝マルウェアたん
マルウェアたん＝彼女

7. デートの一連の流れ
1.マルウェアを探してくる
(Offensive Computingっていうのはたくさん検
体があります)
2.逆アセンブラ兼デバッガにぶち込む
(IDA ProやOllyDbgを使いましょう)
3.ぺろぺrシェルコードを見る
(そのコードが何処でどういった働きをするのか
理解する)

8. マルウェアちゃんとデートするために
●
仮想環境を立てる
マルウェアちゃんが暴れてもホストマシ
ンに影響はない
(元の正常な環境に戻すのが容易である)
ただし仮想環境というのを検知して、動
作をしないものがある

9. 仮想環境で解析するとエラーが出る
↑通常
仮想環境下→

10. ( ˘⊖˘) 。o(待てよ、どうして感染しないんだ…？)

11. Agobot
Agobotは、
デバッガ上またはVMware等の仮想システム
上で実行されていることを検出する機能が
あり、
これを検出した場合、活動を停止したり、
自分自身を消去するものがある。

12. なんでVMってわかんねん
VMwareには非公開であるが固有のI/O
ポートがある！

13. あとはわかるな？

15. 仮想環境だとわかった場合
存在しないメモリ番号
0x00000000にアクセス
↓

16. さらに
I/Oポート確認前に、ブラウザの閲覧履歴を
チェックする
● マルウェア解析情報サイト
● 検体配布サイト
● セキュリティ対策サイト
これらの閲覧履歴があった場合は感染を停
止、自らを削除してしまう

17. しかし
仮想環境かどうかを検知して
動作を終了若しくは自らを削除するマルウェア
ちゃんは少ない
(あったとしても大体はこのAgobotの亜種)

18. マルウェアちゃんをぺろぺろす
る時は
必ず仮想環境を用意しましょ
う！！！！！！

19. ご清聴ありがとうございました！