JavaScriptで書ける!APIフックによるマルウェア動的解析
早いものでもう年末ですね。 NECサイバーセキュリティ戦略本部セキュリティ技術センターの川北です。今回はマルウェアの動的解析でよく用いられるAPIフックを気軽に利用する方法を紹介します。 WindowsやAndroidなどのOS上で動作するアプリケーションは、アプリケーションプログラミングインタフェース(API: Application Programming Interface)を呼び出すことで、ファイルやネットワークをはじめとするOS固有の機能を呼び出します。マルウェアも例外ではありません。APIの出入口に独自のコードを仕掛けて、本来の振る舞いとは異なる動作をさせる手法がAPIフックです。 マルウェアの動的解析において、ネットワークへ流れるデータが暗号化されていると、Wireshark[1]等のパケットキャプチャツールでは容易に中身がわからないという問題があります。マルウェアの内部では
TAP-Win32 でネットワークパケットと戯れる (後編) : DSAS開発者の部屋
■ はじめに 前回はTAP デバイスからパケットデータを読み出してみました。 今回はこれに加えて書き込みを試してみましょう。 手近でわかりやすい題材として ping コマンドのエコー要求に応答してみることにします。 つまり、TAP 仮想ネットワーク上に存在するホストのような顔をして待機し、所定の IP アドレスへ ping が打たれるとそれに反応してレスポンスを返すプログラムを書いちゃえということですね。 このように、入出力パケットの操作をユーザモードのコードで自由に行えるのが TAP の面白いところです。 仮想ホストの IP アドレス? 考えかた イーサネットヘッダ IP ヘッダ ICMP ヘッダ+データ まずは軽く・・ あれれ? ARP メッセージ ARP レスポンスに挑戦 ARP レスポンス成功!! ICMP エコーレスポンスの実装 ICMP エコーレスポンス成功!! (チェックサム
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
