2章表層解析

　表層解析は、分析対象ファイルを実行せずに分析する手法です。これは、分析対象ファイルから有益な情報を抽出し、どのように分類、分析するか、その後の分析過程で何に重点を当てるのか、情報に基づいた意思決定を行うための初期解析手法です。この章では、分析対象ファイルから有益な情報を抽出するための様々なツール・手法について説明します。

　この章では、次のことを学びます。

• マルウェアが標的としているアーキテクチャの特定
• マルウェアのフィンガープリンティング
• マルウェア対策エンジンを利用した分析対象ファイルのスキャン
• ファイルに関連付けられている文字列、関数、メタデータの抽出
• 分析を妨害するために利用された難読化手法の特定
• マルウェアの分類と比較

　これらの手法により、ファイルに関する様々な情報が明らかになる可能性があります。これらすべての技法に従う必要はなく、また本書で提示されている順序に従って実施する必要もありません。どのテクニックを利用するかは、目的によって変わります。

2.1　ファイル形式の判別

　分析中に、分析対象ファイルのファイル形式を特定すると、マルウェアが狙っているオペレーティングシステム（Windows、Linux）とアーキテクチャ（32ビット、64ビットプラットフォーム）を特定できます。たとえば、分析対象ファイルのファイル形式がPortable Executable（PE）である場合、Windowsの実行ファイル形式（.exe、.dll、.sys、.drv、.com、.ocxなど）だとわかり、当該ファイルはWindowsオペレーティングシステムを対象として作成されたと推測できます。

　Windowsベースのマルウェアの多くは、.exe、.dll、.sys ...