book

初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

Name: 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
ISBN: 9784873119298

by Monnappa K A, 石川朝久, 北原憲, 中津留勇

December 2020

Beginner to intermediate

448 pages

7h 48m

Japanese

O'Reilly Japan, Inc.

Read now

Unlock full access

表紙
はじめに
　本書の想定読者　本書の構成　この本を最大限に活用するために　カラー画像のダウンロード　本書の表記法　問い合わせ先　謝辞
1章　ようこそ、マルウェア解析の世界へ
　1.1　マルウェアの定義　1.2　マルウェア解析とは？　1.3　なぜマルウェア解析が必要なのか？　1.4　マルウェア解析の種類　1.5　解析環境の準備　　1.5.1　解析環境の要件　　1.5.2　解析環境の構成について　　1.5.3　Linux VMのセットアップと設定　　1.5.4　Windows VMのセットアップと設定　1.6　マルウェアの入手先　1.7　まとめ
2章　表層解析
　2.1　ファイル形式の判別　　2.1.1　手動によるファイル形式の判別　　2.1.2　ツールによるファイル形式の判別　　2.1.3　Pythonによるファイル形式の判別　2.2　マルウェアのフィンガープリント　　2.2.1　ツールによるハッシュ値生成　　2.2.2　Pythonによるハッシュ値生成　2.3　複数のマルウェア対策スキャン　　2.3.1 VirusTotalを利用した分析対象ファイルのスキャン　　2.3.2　VirusTotal Public APIを利用したハッシュ値の問い合わせ　2.4　文字列の抽出　　2.4.1　ツールによる文字列抽出　　2.4.2　FLOSSによる難読化文字列のデコード　2.5　ファイル難読化の判別　　2.5.1　パッカー・クリプター　　2.5.2　Exeinfo PEを利用したファイル難読化の検出　2.6　PEヘッダ情報の分析　　2.6.1　ファイルの依存関係とインポート関数の調査　　2.6.2　エクスポート関数の調査　　2.6.3　PEセクションテーブルとセクションの調査　　2.6.4　コンパイル時刻の分析　　2.6.5　PEリソースの分析　2.7　マルウェアの比較と分類　　2.7.1　ファジーハッシュを利用したマルウェアの分類　　2.7.2　インポートハッシュを利用したマルウェアの分類　　2.7.3　セクションハッシュを利用したマルウェアの分類　　2.7.4　YARAによるマルウェアの分類　2.8　まとめ
3章　動的解析
　3.1　解析環境の概要　3.2　システムとネットワークの監視　3.3　動的解析ツール（監視ツール）　　3.3.1　Process Hackerによるプロセス調査　　3.3.2　Process Monitorによるシステム挙動の監視　　3.3.3　Noribenによるシステム挙動の監視　　3.3.4　Wiresharkによるネットワークトラフィックの監視　　3.3.5　INetSimを利用したサービスの模倣　3.4　動的解析の方法論　3.5　実践編：実行ファイル型マルウェアの分析　　3.5.1　検体の表層解析　　3.5.2　検体の動的解析　3.6　DLLの解析　　3.6.1　攻撃者がDLLを悪用する理由　　3.6.2　rundll32.exeを利用したDLL解析　　3.6.3　プロセスチェックによるDLL分析　3.7　まとめ
4章　アセンブリ言語と逆アセンブル入門
　4.1　コンピュータの基礎　　4.1.1　メモリ　　4.1.2　CPU　　4.1.3　プログラムの基礎　4.2　CPUレジスタ　　4.2.1　汎用レジスタ　　4.2.2　命令ポインタ（Instruction Pointer、EIP）　　4.2.3　EFLAGSレジスタ　4.3　データ移動命令　　4.3.1　レジスタへの定数の格納　　4.3.2　レジスタからレジスタへの値の移動　　4.3.3　メモリからレジスタへの値の移動　　4.3.4　レジスタからメモリへの値の移動　　4.3.5　アセンブリコード練習問題（問題編）　　4.3.6　アセンブリコード練習問題（解答編）　4.4　算術演算　　4.4.1　アセンブリコード練習問題（問題編）　　4.4.2　アセンブリコード練習問題（解答編）　4.5　ビット演算　4.6　分岐と条件　　4.6.1　無条件ジャンプ（Unconditional Jumps）　　4.6.2　条件付きジャンプ（Conditional Jumps）　　4.6.3　If文　　4.6.4　if-else文　　4.6.5　if-elseif-else文　　4.6.6　アセンブリコード練習問題（問題編）　　4.6.7　アセンブリコード練習問題（解答編）　4.7　ループ　　4.7.1　アセンブリコード練習問題（問題編）　　4.7.2　アセンブリコード練習問題（解答編）　4.8　関数　　4.8.1　スタック　　4.8.2　関数の呼び出し　　4.8.3　関数の終了　　4.8.4　関数パラメータと戻り値　4.9　配列と文字列　　4.9.1　アセンブリコード練習問題（問題編）　　4.9.2　アセンブリコード練習問題（解答編）　　4.9.3　文字列　4.10　構造体　4.11　x64アーキテクチャ　　4.11.1　64ビットWindowsにおける32ビット実行ファイルの分析　4.12　さらなる学習のために　4.13　まとめ
5章　IDAによる逆アセンブル
　5.1　コード解析ツール　5.2　IDAによる静的コード解析（逆アセンブル）　　5.2.1　IDAにおけるファイルの読み込み　　5.2.2　IDAの表示画面　　5.2.3　IDAによる逆アセンブル分析　5.3　Windows APIの逆アセンブル　　5.3.1　Windows APIへの理解　　5.3.2　32ビットAPIと64ビットAPIの比較　5.4　IDAによるプログラムへのパッチ適用　　5.4.1　実行ファイルへのパッチ適用　　5.4.2　命令コードへのパッチ適用　5.5　IDAスクリプトとプラグイン　　5.5.1　IDAスクリプトの実行　　5.5.2　IDAPython　　5.5.3　IDAプラグイン　5.6　まとめ
6章　マルウェアのデバッグ
　6.1　デバッガの一般的概念について　　6.1.1　プロセスの起動とアタッチ　　6.1.2　プロセスの実行制御　　6.1.3　ブレークポイントを利用したプログラム制御　　6.1.4　プログラム実行のトレース　6.2　x64dbgによる実行ファイルのデバッグ　　6.2.1　x64dbgによる新しいプロセスの起動　　6.2.2　x64dbgによる既存プロセスへのアタッチ　　6.2.3　x64dbgデバッガインタフェース　　6.2.4　x64dbgによるプロセスの実行制御　　6.2.5　x64dbgにおけるブレークポイント設定　　6.2.6　32ビットマルウェアに対するデバッグ　　6.2.7　64ビットマルウェアに対するデバッグ　　6.2.8　x64dbgによる悪性DLLのデバッグ　　6.2.9　x64dbgにおけるトレース実行　　6.2.10　x64dbgによるプログラムへのパッチ適用　6.3　IDAによる実行ファイルのデバッグ　　6.3.1　IDAにおける新しいプロセスの起動　　6.3.2　IDAを利用した既存プロセスへのアタッチ　　6.3.3　IDA Debuggerのインタフェース　　6.3.4　IDAを利用したプロセス実行の制御　　6.3.5　IDAにおけるブレークポイントの設定　　6.3.6　IDAを利用したマルウェアのデバッグ　　6.3.7　IDAを利用した悪性DLLのデバッグ　　6.3.8　IDAを利用した実行トレース　　6.3.9　IDAPythonを利用したデバッガスクリプト　6.4　.NETアプリケーションのデバッグ技法　6.5　まとめ
7章　マルウェアの機能と持続性
　7.1　マルウェアの機能　　7.1.1　ダウンローダー　　7.1.2　ドロッパー　　7.1.3　キーロガー　　7.1.4　リムーバブルメディアを介したマルウェアの複製　　7.1.5　マルウェアのC2通信　　7.1.6　PowerShellの実行　7.2　マルウェアの持続性メカニズム　　7.2.1　RUNレジストリキー　　7.2.2　スケジュールタスク　　7.2.3　スタートアップフォルダ　　7.2.4　Winlogonレジストリ　　7.2.5　イメージファイル実行オプション　　7.2.6　アクセシビリティプログラム　　7.2.7　AppInit_DLLs　　7.2.8　DLL検索順序の悪用（DLL Search Order Hijacking）　　7.2.9　COMハイジャッキング（COM hijacking）　　7.2.10　サービス　7.3　まとめ
8章　コードインジェクションとフッキング
　8.1　仮想メモリ　　8.1.1　プロセスメモリの構成要素（ユーザ空間）　　8.1.2　カーネルメモリの構成要素（カーネル空間）　8.2　ユーザモードとカーネルモード　　8.2.1　Windows API呼び出しフロー　8.3　コードインジェクション技術　　8.3.1　リモートDLLインジェクション　　8.3.2　APCインジェクション　　8.3.3　SetWindowsHookEx()を悪用したDLLインジェクション　　8.3.4　アプリケーション互換性Shimを悪用したDLLインジェクション　　8.3.5　リモート実行ファイル/シェルコードインジェクション　　8.3.6　プロセスハロウイング　8.4　フッキング技術　　8.4.1　IATフッキング　　8.4.2　インラインフッキング（インラインパッチ）　　8.4.3　Shimを利用したインメモリパッチング　8.5　追加リソース　8.6　まとめ

9章　難読化手法
　9.1　単純なエンコード　　9.1.1　シーザー暗号　　9.1.2　BASE64エンコーディング　　9.1.3　XORエンコーディング　9.2　マルウェアの暗号化　　9.2.1　Signsrchを利用した暗号シグニチャの識別　　9.2.2　FindCrypt2を利用した暗号定数の検出　　9.2.3　YARAを利用した暗号シグニチャの検出　　9.2.4　Pythonによる復号　9.3　カスタムエンコード/暗号化　9.4　マルウェアのアンパック技法　　9.4.1　手動によるアンパッキング　　9.4.2　自動化されたアンパッキング　9.5　まとめ
10章　メモリフォレンジックを利用したマルウェアハンティング
　10.1　メモリフォレンジックの手順　10.2　メモリイメージの取得　　10.2.1　DumpItを利用したメモリイメージ取得　10.3　Volatilityの概要　　10.3.1　Volatilityのインストール　　10.3.2　Volatilityの利用　10.4　プロセスの列挙　　10.4.1　プロセスの概要　　10.4.2　psscanを利用したプロセス列挙　　10.4.3　プロセスの関係性分析　　10.4.4　psxviewを利用したプロセス列挙　10.5　プロセスハンドルの列挙　10.6　DLLの列挙　　10.6.1　ldrmodulesを利用した隠しDLLの検出　10.7　実行ファイルとDLLのダンプ　10.8　ネットワーク接続とソケットの列挙　10.9　レジストリの検査　10.10　サービスの調査　10.11　コマンド履歴の抽出　10.12　まとめ
11章　メモリフォレンジックを利用した高度なマルウェア検出
　11.1　コードインジェクションの検出　　11.1.1　VAD情報の取得　　11.1.2　VADを利用した挿入コードの検出　　11.1.3　プロセスメモリ領域のダンプ　　11.1.4　malfindを利用した挿入コードの検出　11.2　プロセスハロウイング攻撃の調査　　11.2.1　プロセスハロウイング攻撃のステップ　　11.2.2　プロセスハロウイング攻撃の検出　　11.2.3　プロセスハロウイング攻撃の種類　11.3　APIフックの検出　11.4　カーネルモードルートキット　11.5　カーネルモジュールの列挙　　11.5.1　driverscanを利用したカーネルモジュールの列挙　11.6　I/O処理　　11.6.1　デバイスドライバの役割　　11.6.2　I/Oマネージャの役割　　11.6.3　デバイスドライバとの通信　　11.6.4　複数層ドライバへのI/Oリクエスト　11.7　デバイスツリーの表示　11.8　カーネル空間フッキングの検出　　11.8.1　SSDTフッキングの検出　　11.8.2　IDTフッキングの検出　　11.8.3　インラインカーネルフックの特定　　11.8.4　IRP関数フックの検出　11.9　カーネルコールバックとタイマー　11.10　まとめ
訳者あとがき
技術監修者あとがき
奥付

Content preview from 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

はじめに

　コンピュータやインターネット技術の進歩は、私たちの生活を大きく変え、ビジネスのあり方を大きく変えました。しかし、技術の進化とデジタライゼーションの流れは、サイバー犯罪活動を生み出しています。重要インフラ、データセンター、民間企業、公共部門、防衛、エネルギー、政府、金融セクターに対するサイバー攻撃の脅威は増大しており、個人から大企業に至るまで、すべての人にとって避けられない課題となっています。これらのサイバー攻撃は、マルウェア（Malicious Software）と呼ばれる悪意のあるソフトウェアを利用して、金銭的動機、スパイ活動（エスピオナージ）、破壊工作、知的財産権の窃取、政治的動機など、様々な目的のために行われます。

　攻撃者が賢くなり、より高度なマルウェア攻撃を行ってくるに伴い、こうした侵入を検知して対応する重要性も高まっています。マルウェア解析は、高度なマルウェアや標的型攻撃に対抗するための必須スキルとなっています。しかし、高度な分析を行うためには、様々なスキルや知識をバランスよく身につける必要があります。言い換えれば、マルウェア解析には時間と根気が必要です。

　本書では、マルウェア解析を利用し、Windowsマルウェアの挙動や特徴を理解するための概念、ツール、テクニックを学びます。まず、マルウェア解析の基本的な概念を紹介します。その後、コード解析やメモリフォレンジックなど、より高度な概念へ進んでいきます。概念をよりよく理解するため、実際に悪用された様々なマルウェア、マルウェアに感染したメモリイメージ、可視化されたダイアグラムなども、本書を通じて取り上げています。これに加え、必要な概念を理解する上で十分な情報を提供しており、今後勉強するための参考情報もできる限り載せています。 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Pythonではじめる機械学習 ―scikit-learnで学ぶ特徴量エンジニアリングと機械学習の基礎

Publisher Resources

ISBN: 9784873119298Other

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

by Monnappa K A, 石川朝久, 北原憲, 中津留勇

はじめに

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.