マルウェア解析奮闘記 ～破損マルウェアを解析せよ～ | セキュリティ研究センターブログ

５月某日、ある検体を入手しました。この時点ではマルウェアなのかどうかは不明でしたが、様々なツール（VirusTotal、サンドボックス、IDA Proなど）の解析の結果は壊れているファイルとなっており、正しい解析結果が得られませんでした。そのため、手動で解析することになりました。 その解析の流れと結果を書きます。 ■バイナリエディタで目grep まずはファイルタイプの調査から開始しました。 図１、バイナリエディタ 見ての通り、PEファイルです。ただし、後半部分に白い線がたくさん入っていたり（NULLバイトが連なっている）、中盤が赤い（ASCIIコードが多い）割には意味のありそうな文字列は見当たらなかったりと難読化、暗号化が施されているPEファイルではないかと推測しました。 ちなみにVirusTotalにアップロードした結果、検出率は5/52と低めで、ここでもファイルが壊れている旨の検知結果

[smokyjp]

マクニカネットワークス　ブログ　マルウェア解析

[UDONCHAN]

『マルウェアは実行できない状態で配送されて、セキュリティ対策の検知を免れた後に、クライアント上で修復されて実行されるケースがあります』

[TAKESAKO]

わかりやすい実用的目grep解説記事 →マルウェア解析奮闘記　～破損マルウェアを解析せよ～

[mkusunok]

分かりやすい解説。こうやってひとつひとつ調べるのは大変だなぁ

[mumincacao]

わざとへっだを壊してすり抜けた後に自動修復に期待かぁ・・・ 多少壊れててもなんとかしてくれるのって便利だけどこんな手法があると落とし穴にもなっちゃうのかなぁ？（ーｘ【みかん

[sho]

面白いなぁ。

[a2de]

PEヘッダが壊れていると正しく判定できない場合があります。マルウェアの作成者はこうしたセキュリティ対策をすり抜けるために、あえて、1バイトのみPEヘッダを改ざんしたものと思われます