早いものでもう年末ですね。 NECサイバーセキュリティ戦略本部セキュリティ技術センターの川北です。今回はマルウェアの動的解析でよく用いられるAPIフックを気軽に利用する方法を紹介します。 WindowsやAndroidなどのOS上で動作するアプリケーションは、アプリケーションプログラミングインタフェース(API: Application Programming Interface)を呼び出すことで、ファイルやネットワークをはじめとするOS固有の機能を呼び出します。マルウェアも例外ではありません。APIの出入口に独自のコードを仕掛けて、本来の振る舞いとは異なる動作をさせる手法がAPIフックです。 マルウェアの動的解析において、ネットワークへ流れるデータが暗号化されていると、Wireshark[1]等のパケットキャプチャツールでは容易に中身がわからないという問題があります。マルウェアの内部では