セキュリティ&プログラミングキャンプ2009 2日目のお話 マルウェア解析編
この記事で2日目の話が終わります。
・マルウェア解析(村上講師)
この講義では、アセンブリ言語を山のように読むことになります。
Dltnは幸い、普段からアセンブリ言語を嫌と言うほど読んでいたので、助かりましたが、
知らない人が見たら子守歌みたいだろうなあ。
なんて普段から思っていました。
事実、
その通りだったようです。
あまりに濃い内容なので、ここでは具体的な中身の紹介は避けておきます。
最初は座学メインで、基本的な命令について学んでいきました。
命令の1つ1つは凄く単純明快なんですが、群れると厄介です。。
また、用意されたOllydbgは日本語化されたりフォント設定がされていないので、
知っている人は設定すれば済む話なんですが、
知らない人はデフォルト(とても小さい文字)で見てました><
(ここから3日目の内容になります。)
Ollydbgを使って解析を行った後は、IDA Proの体験版を使っての解析でした。
体験版なので、30分経つと終了します。
問答無用で終了します。
頑張って解析してても終了します。
あまりの衝撃にDltnの前に居た方は絶望していました。
個人的には、触り慣れてるOllyの方が好きですが、
グラフビューは魅力的です。またお金貯めてIDA Proも買ってみようかなと思います。
村上さんが仰るとおり、まさに解析は
「気合いと努力と根性と、コーヒー。」
きっと、これは解析をされている方なら誰に聞いても同じだと思います。
(コーヒーの部分は人によって変わりそうだけど。)
でも、分かるようになってくると本当に面白いので、この講義を通じて少しでも興味を持った人が現れたなら、
それは村上さんにとっても本望でしょうし、何より自分にとっても嬉しい話です(´▽`*)
#// ---- 余談 ----
興味を持たれた方は、是非こちらのサイトにある crackme を解いてみてください。面白いです。
Cafe ac World
(上記ページはリンクが隠されているので,頑張って探して下さい。)
ただし、得た技術は悪用しないようにしましょう−。
crackmeはいくらクラックしても大丈夫ですが、
シェアウェアや市販ソフトを使う目的でクラックするのは、
村上さんも仰っていましたが、しょうもないです。
もしシェアウェアソフトなどを作っていらっしゃる方は、ご自身のソフトをクラックしようと試みてみると面白いかもしれません。
Dltnがとある場所で売っているソフトは、
例え起動チェックを回避して起動させても動かない
という仕組みなので、なかなかクラックしづらくなっています。
ただ、やりとりするデータが生なのですぐばれます。
こうやって自身のソフトの耐クラック性を調べる事ができるのも,解析技術があってこそです。
#// ---- 余談終わり ----
凄く話がそれました。キャンプ2日目の話に戻ります。
2日目にして、既に知り合った方とわいわい話せるというのは、
やはり似た方面に興味があるからこそ、なんでしょうね。
「村上さんってクールでカッコイイよね!」なんて話も出たりしていました。
やっぱり思ってることはみんな一緒なんだな(笑)
2日目が一番技術的には濃い事を、詰め込んでやっていた感じがしました。
3日目からはちょっと緩く感じましたが、それでも溜まった疲れが首を絞めていきました。(Dltnの場合。)
3日目に続きます。