book

初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

Name: 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
ISBN: 9784873119298

by Monnappa K A, 石川朝久, 北原憲, 中津留勇

December 2020

Beginner to intermediate

448 pages

7h 48m

Japanese

O'Reilly Japan, Inc.

Read now

Unlock full access

表紙
はじめに
　本書の想定読者　本書の構成　この本を最大限に活用するために　カラー画像のダウンロード　本書の表記法　問い合わせ先　謝辞
1章　ようこそ、マルウェア解析の世界へ
　1.1　マルウェアの定義　1.2　マルウェア解析とは？　1.3　なぜマルウェア解析が必要なのか？　1.4　マルウェア解析の種類　1.5　解析環境の準備　　1.5.1　解析環境の要件　　1.5.2　解析環境の構成について　　1.5.3　Linux VMのセットアップと設定　　1.5.4　Windows VMのセットアップと設定　1.6　マルウェアの入手先　1.7　まとめ
2章　表層解析
　2.1　ファイル形式の判別　　2.1.1　手動によるファイル形式の判別　　2.1.2　ツールによるファイル形式の判別　　2.1.3　Pythonによるファイル形式の判別　2.2　マルウェアのフィンガープリント　　2.2.1　ツールによるハッシュ値生成　　2.2.2　Pythonによるハッシュ値生成　2.3　複数のマルウェア対策スキャン　　2.3.1 VirusTotalを利用した分析対象ファイルのスキャン　　2.3.2　VirusTotal Public APIを利用したハッシュ値の問い合わせ　2.4　文字列の抽出　　2.4.1　ツールによる文字列抽出　　2.4.2　FLOSSによる難読化文字列のデコード　2.5　ファイル難読化の判別　　2.5.1　パッカー・クリプター　　2.5.2　Exeinfo PEを利用したファイル難読化の検出　2.6　PEヘッダ情報の分析　　2.6.1　ファイルの依存関係とインポート関数の調査　　2.6.2　エクスポート関数の調査　　2.6.3　PEセクションテーブルとセクションの調査　　2.6.4　コンパイル時刻の分析　　2.6.5　PEリソースの分析　2.7　マルウェアの比較と分類　　2.7.1　ファジーハッシュを利用したマルウェアの分類　　2.7.2　インポートハッシュを利用したマルウェアの分類　　2.7.3　セクションハッシュを利用したマルウェアの分類　　2.7.4　YARAによるマルウェアの分類　2.8　まとめ
3章　動的解析
　3.1　解析環境の概要　3.2　システムとネットワークの監視　3.3　動的解析ツール（監視ツール）　　3.3.1　Process Hackerによるプロセス調査　　3.3.2　Process Monitorによるシステム挙動の監視　　3.3.3　Noribenによるシステム挙動の監視　　3.3.4　Wiresharkによるネットワークトラフィックの監視　　3.3.5　INetSimを利用したサービスの模倣　3.4　動的解析の方法論　3.5　実践編：実行ファイル型マルウェアの分析　　3.5.1　検体の表層解析　　3.5.2　検体の動的解析　3.6　DLLの解析　　3.6.1　攻撃者がDLLを悪用する理由　　3.6.2　rundll32.exeを利用したDLL解析　　3.6.3　プロセスチェックによるDLL分析　3.7　まとめ
4章　アセンブリ言語と逆アセンブル入門
　4.1　コンピュータの基礎　　4.1.1　メモリ　　4.1.2　CPU　　4.1.3　プログラムの基礎　4.2　CPUレジスタ　　4.2.1　汎用レジスタ　　4.2.2　命令ポインタ（Instruction Pointer、EIP）　　4.2.3　EFLAGSレジスタ　4.3　データ移動命令　　4.3.1　レジスタへの定数の格納　　4.3.2　レジスタからレジスタへの値の移動　　4.3.3　メモリからレジスタへの値の移動　　4.3.4　レジスタからメモリへの値の移動　　4.3.5　アセンブリコード練習問題（問題編）　　4.3.6　アセンブリコード練習問題（解答編）　4.4　算術演算　　4.4.1　アセンブリコード練習問題（問題編）　　4.4.2　アセンブリコード練習問題（解答編）　4.5　ビット演算　4.6　分岐と条件　　4.6.1　無条件ジャンプ（Unconditional Jumps）　　4.6.2　条件付きジャンプ（Conditional Jumps）　　4.6.3　If文　　4.6.4　if-else文　　4.6.5　if-elseif-else文　　4.6.6　アセンブリコード練習問題（問題編）　　4.6.7　アセンブリコード練習問題（解答編）　4.7　ループ　　4.7.1　アセンブリコード練習問題（問題編）　　4.7.2　アセンブリコード練習問題（解答編）　4.8　関数　　4.8.1　スタック　　4.8.2　関数の呼び出し　　4.8.3　関数の終了　　4.8.4　関数パラメータと戻り値　4.9　配列と文字列　　4.9.1　アセンブリコード練習問題（問題編）　　4.9.2　アセンブリコード練習問題（解答編）　　4.9.3　文字列　4.10　構造体　4.11　x64アーキテクチャ　　4.11.1　64ビットWindowsにおける32ビット実行ファイルの分析　4.12　さらなる学習のために　4.13　まとめ
5章　IDAによる逆アセンブル
　5.1　コード解析ツール　5.2　IDAによる静的コード解析（逆アセンブル）　　5.2.1　IDAにおけるファイルの読み込み　　5.2.2　IDAの表示画面　　5.2.3　IDAによる逆アセンブル分析　5.3　Windows APIの逆アセンブル　　5.3.1　Windows APIへの理解　　5.3.2　32ビットAPIと64ビットAPIの比較　5.4　IDAによるプログラムへのパッチ適用　　5.4.1　実行ファイルへのパッチ適用　　5.4.2　命令コードへのパッチ適用　5.5　IDAスクリプトとプラグイン　　5.5.1　IDAスクリプトの実行　　5.5.2　IDAPython　　5.5.3　IDAプラグイン　5.6　まとめ
6章　マルウェアのデバッグ
　6.1　デバッガの一般的概念について　　6.1.1　プロセスの起動とアタッチ　　6.1.2　プロセスの実行制御　　6.1.3　ブレークポイントを利用したプログラム制御　　6.1.4　プログラム実行のトレース　6.2　x64dbgによる実行ファイルのデバッグ　　6.2.1　x64dbgによる新しいプロセスの起動　　6.2.2　x64dbgによる既存プロセスへのアタッチ　　6.2.3　x64dbgデバッガインタフェース　　6.2.4　x64dbgによるプロセスの実行制御　　6.2.5　x64dbgにおけるブレークポイント設定　　6.2.6　32ビットマルウェアに対するデバッグ　　6.2.7　64ビットマルウェアに対するデバッグ　　6.2.8　x64dbgによる悪性DLLのデバッグ　　6.2.9　x64dbgにおけるトレース実行　　6.2.10　x64dbgによるプログラムへのパッチ適用　6.3　IDAによる実行ファイルのデバッグ　　6.3.1　IDAにおける新しいプロセスの起動　　6.3.2　IDAを利用した既存プロセスへのアタッチ　　6.3.3　IDA Debuggerのインタフェース　　6.3.4　IDAを利用したプロセス実行の制御　　6.3.5　IDAにおけるブレークポイントの設定　　6.3.6　IDAを利用したマルウェアのデバッグ　　6.3.7　IDAを利用した悪性DLLのデバッグ　　6.3.8　IDAを利用した実行トレース　　6.3.9　IDAPythonを利用したデバッガスクリプト　6.4　.NETアプリケーションのデバッグ技法　6.5　まとめ
7章　マルウェアの機能と持続性
　7.1　マルウェアの機能　　7.1.1　ダウンローダー　　7.1.2　ドロッパー　　7.1.3　キーロガー　　7.1.4　リムーバブルメディアを介したマルウェアの複製　　7.1.5　マルウェアのC2通信　　7.1.6　PowerShellの実行　7.2　マルウェアの持続性メカニズム　　7.2.1　RUNレジストリキー　　7.2.2　スケジュールタスク　　7.2.3　スタートアップフォルダ　　7.2.4　Winlogonレジストリ　　7.2.5　イメージファイル実行オプション　　7.2.6　アクセシビリティプログラム　　7.2.7　AppInit_DLLs　　7.2.8　DLL検索順序の悪用（DLL Search Order Hijacking）　　7.2.9　COMハイジャッキング（COM hijacking）　　7.2.10　サービス　7.3　まとめ
8章　コードインジェクションとフッキング
　8.1　仮想メモリ　　8.1.1　プロセスメモリの構成要素（ユーザ空間）　　8.1.2　カーネルメモリの構成要素（カーネル空間）　8.2　ユーザモードとカーネルモード　　8.2.1　Windows API呼び出しフロー　8.3　コードインジェクション技術　　8.3.1　リモートDLLインジェクション　　8.3.2　APCインジェクション　　8.3.3　SetWindowsHookEx()を悪用したDLLインジェクション　　8.3.4　アプリケーション互換性Shimを悪用したDLLインジェクション　　8.3.5　リモート実行ファイル/シェルコードインジェクション　　8.3.6　プロセスハロウイング　8.4　フッキング技術　　8.4.1　IATフッキング　　8.4.2　インラインフッキング（インラインパッチ）　　8.4.3　Shimを利用したインメモリパッチング　8.5　追加リソース　8.6　まとめ

9章　難読化手法
　9.1　単純なエンコード　　9.1.1　シーザー暗号　　9.1.2　BASE64エンコーディング　　9.1.3　XORエンコーディング　9.2　マルウェアの暗号化　　9.2.1　Signsrchを利用した暗号シグニチャの識別　　9.2.2　FindCrypt2を利用した暗号定数の検出　　9.2.3　YARAを利用した暗号シグニチャの検出　　9.2.4　Pythonによる復号　9.3　カスタムエンコード/暗号化　9.4　マルウェアのアンパック技法　　9.4.1　手動によるアンパッキング　　9.4.2　自動化されたアンパッキング　9.5　まとめ
10章　メモリフォレンジックを利用したマルウェアハンティング
　10.1　メモリフォレンジックの手順　10.2　メモリイメージの取得　　10.2.1　DumpItを利用したメモリイメージ取得　10.3　Volatilityの概要　　10.3.1　Volatilityのインストール　　10.3.2　Volatilityの利用　10.4　プロセスの列挙　　10.4.1　プロセスの概要　　10.4.2　psscanを利用したプロセス列挙　　10.4.3　プロセスの関係性分析　　10.4.4　psxviewを利用したプロセス列挙　10.5　プロセスハンドルの列挙　10.6　DLLの列挙　　10.6.1　ldrmodulesを利用した隠しDLLの検出　10.7　実行ファイルとDLLのダンプ　10.8　ネットワーク接続とソケットの列挙　10.9　レジストリの検査　10.10　サービスの調査　10.11　コマンド履歴の抽出　10.12　まとめ
11章　メモリフォレンジックを利用した高度なマルウェア検出
　11.1　コードインジェクションの検出　　11.1.1　VAD情報の取得　　11.1.2　VADを利用した挿入コードの検出　　11.1.3　プロセスメモリ領域のダンプ　　11.1.4　malfindを利用した挿入コードの検出　11.2　プロセスハロウイング攻撃の調査　　11.2.1　プロセスハロウイング攻撃のステップ　　11.2.2　プロセスハロウイング攻撃の検出　　11.2.3　プロセスハロウイング攻撃の種類　11.3　APIフックの検出　11.4　カーネルモードルートキット　11.5　カーネルモジュールの列挙　　11.5.1　driverscanを利用したカーネルモジュールの列挙　11.6　I/O処理　　11.6.1　デバイスドライバの役割　　11.6.2　I/Oマネージャの役割　　11.6.3　デバイスドライバとの通信　　11.6.4　複数層ドライバへのI/Oリクエスト　11.7　デバイスツリーの表示　11.8　カーネル空間フッキングの検出　　11.8.1　SSDTフッキングの検出　　11.8.2　IDTフッキングの検出　　11.8.3　インラインカーネルフックの特定　　11.8.4　IRP関数フックの検出　11.9　カーネルコールバックとタイマー　11.10　まとめ
訳者あとがき
技術監修者あとがき
奥付

Content preview from 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

技術監修者あとがき

　元々は物理学者を目指していた私は、2014年にサイバーセキュリティ企業に入社したことにより、ゼロから情報技術を学びました。当時はサイバーセキュリティ技術の専門書が片手で数えられる程度しかなく、英語の専門書や技術記事を読み漁る毎日でした。私がサイバーセキュリティ業界に来た2014年と比べると、日本国内におけるサイバーセキュリティ技術に対する関心は大幅に高まり、日本語で書かれたサイバーセキュリティ技術書は充実し、サイバーセキュリティ技術を学習しやすくなりました。しかし、英語で書かれた技術書と比べると、日本語で書かれたセキュリティ技術書の選択肢が少ないという状況はさほど変わっていません。特に、Webアプリケーションと比べると、本書のような低いレイヤのセキュリティ技術を扱った日本語の書籍はあまり充実していないように感じています。

　リバースエンジニアリングは、何の役に立つかの実感が湧きにくいことがあり、勉強を始めてから実用的なレベルでの習得に至るまでに、忍耐を要する技術分野といえるでしょう。現実には、リバースエンジニアリングの技術は本書のようなマルウェア解析にとどまらず、ゲームでの不正行為や脆弱性の検出などにも応用されています。サイバー攻撃技術を専門とする私にとっても、リバースエンジニアリングはとても役に立つ技術です。攻撃ツールや、脆弱性に対する攻撃コードを開発する際には、リバースエンジニアリングの知識が必要になる場合が多く、新しい攻撃手法を分析して理解するのにも役に立ちます。本書の読者は、企業に勤めるインシデント対応担当者から、純粋な興味で勉強する非専門家まで様々であると考えられますが、低いレイヤの技術は高いレイヤの技術の根本的な理解につながり、応用範囲が広いため、すぐではないにせよ、情報技術に関わる人であれば役に立つ時が来るでしょう。 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Pythonではじめる機械学習 ―scikit-learnで学ぶ特徴量エンジニアリングと機械学習の基礎

Publisher Resources

ISBN: 9784873119298Other

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

by Monnappa K A, 石川朝久, 北原憲, 中津留勇

技術監修者あとがき

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.