サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
Wikipedia
pinksawtooth.hatenablog.com
概要 セキュリティキャンプWSは地方大会、全国大会限定の勉強会みたいな感じ。 今回は2017年の全国大会で人気講義だったSecureWorksの中津留さんのマルウェアの静的解析に関する講義(をさらにバージョンアップしたもの)「The Anatomy of Malware - Complete Edition -」が開催された。 事前課題として2015年に中津留さんが実施した講義の課題をやってくるように言われていた。 セキュリティ・キャンプ全国大会2015でのマルウエア分析講義(2015-09-10) ↑マルウェア解析入門として最高の資料が公開されているのが非常にありがたい。 プロがコメント付け+修正したIDBもある 課題に対するフィードバック 受講生が提出したidbのいいところについてフィードバックがあった。 もっと気をつけないといけないなと思った点をメモっておく。 関数コメント(先頭のや
前回からの続き Windows Anti-Debug Reference まとめ その1 - Twitterに書ききれないこと Windows Anti-Debug Reference まとめ その2 - Twitterに書ききれないこと SymantecのページにWindowsのアンチデバッグ技術について、いい感じにまとまったページがある。勉強のために、そのページを訳してまとめたり、追加で調べた。間違いがないように注意しているけれど間違っているかも・・・ www.symantec.com CPU anti-debug 1. Rogue Int3 これは弱いデバッガを欺くための、古典的なアンチデバッグである。 プログラムの有効なシーケンスの途中で、INT3オペコードを挿入して実装する。 プログラムがデバッグされていない場合、INT3が実行されると制御は、例外ハンドラに渡される。 デバッガが
SymantecのページにWindowsのアンチデバッグ技術について、いい感じにまとまったページがある。勉強のために、そのページを訳してまとめたり、追加で調べた。間違いがないように注意しているけれど間違っているかも・・・ www.symantec.com Exploiting memory discrepancies 1. kernel32!IsDebuggerPresent プロセスがデバッグされていると、IsDebuggerPresentは1を返す。そうでない場合は0を返す。このAPIは、PEB.BeingDebugged(PEB構造体のオフセット0x002の位置)を読み取っているだけである。PEB.BeingDebuggedを0に設定すれば簡単に回避できる。 call IsDebuggerPresent test eax, eax jne @DebuggerDetected 2. P
前回からの続き Windows Anti-Debug Reference まとめ その1 - Twitterに書ききれないこと SymantecのページにWindowsのアンチデバッグ技術について、いい感じにまとまったページがある。勉強のために、そのページを訳してまとめたり、追加で調べた。間違いがないように注意しているけれど間違っているかも・・・ www.symantec.com Exploiting system discrepancies 1. NtQueryInformationProcess NTDLL!NtQueryInformationProcessはZwQueryInformationProcessシステムコールのラッパーである。 プロトタイプは以下のようになっている。 NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDL
WannaCryに関する各組織の解析レポートを時系列にまとめた。 WannaCryを解析する際には公開情報を参照すると良い。 日付 組織 タイトル URL 2017/05/12(金) WannaCryの感染キャンペーンが開始 Malwarebytes Labs The worm that spreads WanaCrypt0r https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ TALOS Player 3 Has Entered the Game: Say Hello to ‘WannaCry’ https://blogs.cisco.com/security/talos/wannacry Kaspersky WannaCry ransomware used in
本記事は「友利奈緒 Advent Calendar 2016」の1日目の記事です. www.adventar.org 某日に発表したエンジニアが友利奈緒になるべき10の理由です. さあみんなで友利奈緒になろうぜ! エンジニアが友利奈緒になるべき10の理由 from pinksawtooth www.slideshare.net
AVTOKYO内で開催されているOpen xINTに参加した。 初エクストリームCTFだったのでその記録。 Challenge1 ハッカーが運営しているWebサイトは、http://pinja.xyz だ。 そこからハッカーのメールアドレスを探し、入力せよ。 whoisしたらメールアドレスがあった。 Challenge2 ハッカーはFacebookのアカウントを持っているようだ。 そのアカウントのアドレスを入手し、入力せよ。 アドレスは https:// を含む形で入力すること。 Challenge1のメールアドレスをFacebookで検索したらでた. Challenge3 ハッカーのFacebookを見ていると、食事の写真が投稿されている。どうやら誰かと食事をしているようだ。その人物から何か情報を引き出せるかもしれない。 まずは、その写真の飲食店を特定し、飲食店の座標を「Nxx xx x
Emdiviついて、解析の参考になりそうなことをネットで調べた。 観測された挙動・通信などの報告のまとめ。 概要 日本年金機構からの情報漏洩事件で有名になったRAT。 基本的には、今までのRATと同等の機能を備えている。 JPCERTによると2015年4-6月期(6/30現在)で、感染が確認されている組織は66組織。うち44組織がEmdiviとなっている。*1 2014年の標的型攻撃に最も使用されたRATは、この年に登場したEmdiviファミリーで全体の35%占めている。 昨年全体の23%とトップだったPoison Ivyは8%と大きく減少している。Plig Xは昨年の21%から32%と増加している。 これは、標的環境がWindows7を採用しているためだと考えられる。*2 またEmdiviは、特に日本を狙う標的型攻撃での使用が確認されているRATである。 以上から今、最も解析が求められて
8/11~8/15まで行われたセキュリティキャンプを見学してきました。 インターン先が協賛企業ということで、主に講義などを見学することができました。 僕自身は2014年にセキュリティキャンプに応募しましたが、落選してしまったのでありがたい機会でした。 見学した講義についてのtwitterや公開資料・関連サイトのまとめです。 どこまで口外していいかわからないので、基本的に公開情報をまとめただけ・・・ 基本的には解析トラックを見学しました。マルウェア関連の講義があったため、検知トラックも少し見学しました。 以下公式サイトのトラック紹介から引用 解析トラック 【概要】 本トラックでは、様々な脆弱性や攻撃、マルウェアなどを解析、対策する手法を取り扱います。脆弱性はどこに存在するのか?攻撃者はどのようにそれを悪用するのか?アセンブリやデバッガ、OS、仮想マシンモニタといった切り口でこれらを明らかにし
このページを最初にブックマークしてみませんか?
『pinksawtooth.hatenablog.com』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く