マルウェア解析奮闘記 ~難読化JScriptを解析せよ~ | セキュリティ研究センターブログ
先日、あるマルウェアを入手しました。フィッシングメールの添付ファイルとして配送されていたもので、拡張子「.js」のJScriptファイルでした。中身は難読化処理が施されておりました。その解読手法および解析した結果を記します。 ■JScriptとは JScriptはスクリプト言語であり、ファイルをダブルクリックした場合はWindows Script Hostがその実行エンジンとなります。そのため、Windows環境は標準でJScriptファイルを実行する事ができます。厳密にはJavaScriptと異なるのですが、JavaScriptが読める方であれば、何をしているかはきっと理解できます。 アイコンは以下の通りです。 図1、JScriptのアイコン ■検体の調査 検体をテキストエディタで開くと以下の通りとなっておりました。 図2、検体のソースコードの一部 一見すると解析を諦めたくなるような綺麗
Nothing But Programming - SEH
SEH (Stractured Exception Handling) ここではWindowsのSEHに関する技術情報をまとめています。主にその利用法というよりは、内部的な実装、脆弱性、保護方法などを中心としてまとめています。32bit CPU x86での処理を前提としています。 さらに詳しいSEHオーバーライトExploitに関するレポートはこちらの「SEHオーバーライトの防御機能とそのExploit可能性」をご覧ください。 基本 SEHはWindowsが提供している例外処理機構である。Windows自体はプラットフォームとしてその基本機能を提供し、その利用方法については各言語環境、コンパイラによって異なる。通常プログラマから見た場合には、コンパイラがインターフェースとなり、具体的なWindowsとのやりとりやコードはコンパイラが生成する。たとえば、Visual C++ではSEHを__t
Win32デバッグ(12)・・・SEH(Structured Exception Handling) - vanillaの日記
まぁ、どうしようか悩んだが、とりあえず、進める所まで進んでみます。 ということで今回のお題目は例外。結論から言うとDelphiではtry-except文による例外処理にしろ、try-finally文の終了処理にしろ、WindowsのSEH(Structured Exception Handling)を使って実装されているのだが、そのSEHについて。 SEHはWindowsによって提供されている構造化例外処理のためのメカニズムのことであるが、その流れについて説明する。 まず、0による除算や不正なメモリへのアクセスなどのハードウェア例外にしろ、Win32 APIのRaiseException関数によるソフトウェア例外にしろ、スレッド内で例外が発生するとOSに制御が移る。そして、OSは例外が発生したスレッドのCPUレジスタなどのコンテキスト情報の保存など必要な処理を行った後、例外をハンドルするた
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
