| 両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン 次のリビジョン両方とも次のリビジョン |
| windows:avast [2019/09/14 10:48] – [RetDec -] ともやん | windows:avast [2019/11/14 11:50] – [この分野のおすすめ関連書籍] ともやん |
|---|
| [[https://blog.avast.com/jp/%E3%82%A2%E3%83%90%E3%82%B9%E3%83%88%E3%81%A8-avg-%E3%81%8C%E5%90%88%E4%BD%B5|アバストと AVG が合併 - Avast 公式 セキュリティ ブログ]] より\\ | [[https://blog.avast.com/jp/%E3%82%A2%E3%83%90%E3%82%B9%E3%83%88%E3%81%A8-avg-%E3%81%8C%E5%90%88%E4%BD%B5|アバストと AVG が合併 - Avast 公式 セキュリティ ブログ]] より\\ |
| |
| ===== RetDec - ===== | ===== RetDec - LLVM に基づいたターゲット変更可能なマシンコード逆コンパイラ ===== |
| [[https://github.com/avast/retdec|RetDec]](オープンソース) は Avast が開発した [[https://llvm.org/|LLVM]] に基づいたターゲット変更可能なマシンコード逆コンパイラである。\\ | [[https://github.com/avast/retdec|RetDec]](オープンソース) は Avast が開発した [[https://llvm.org/|LLVM]] に基づいたターゲット変更可能なマシンコード逆コンパイラである。\\ |
| * サポートされているファイル形式: ELF、PE、Mach-O、COFF、AR(アーカイブ)、Intel HEX、および raw マシンコード | * サポートされているファイル形式: ELF、PE、Mach-O、COFF、AR(アーカイブ)、Intel HEX、および raw マシンコード |
| * 特徴: | * 特徴: |
| * 詳細情報を含む実行可能ファイルの静的分析。 | * 詳細情報を含む実行可能ファイルの静的分析。 |
| * コンパイラおよびパッカーの検出。 | * コンパイラおよび[[https://ja.wikipedia.org/wiki/%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2|パッカー]]の検出。 |
| * ロードと命令デコード。 | * ロードと命令デコード。 |
| * 静的にリンクされたライブラリコードの署名ベースの削除。 | * 静的にリンクされたライブラリコードの署名ベースの削除。 |
| * コールグラフ、制御フローグラフ、およびさまざまな統計の生成。 | * コールグラフ、制御フローグラフ、およびさまざまな統計の生成。 |
| |
| [[https://github.com/avast/retdec|RetDec]] より\\ | [[https://github.com/avast/retdec|GitHub - avast/retdec: RetDec is a retargetable machine-code decompiler based on LLVM.]] より\\ |
| | |
| | ==== パッカーとは... ==== |
| | パッカーとは、マルウェアの実行時に、マルウェア対策エンジンや静的分析による検出を回避するため、マルウェアの暗号化と圧縮および復号を行う。\\ |
| | [[https://upx.github.io/|UPX]] が代表的なパッカーである。\\ |
| | \\ |
| | **UPX の特徴**\\ |
| | * 圧縮にはUCLと呼ばれるデータ圧縮アルゴリズムを用いてる。 |
| | * UCL は解凍用のコードがわずか数百バイトで実装できるようなシンプルな設計となっている。 |
| | * UCLは解凍のための追加のメモリ割り当てを要求しない。このことはUPXで圧縮された実行ファイルが余計なメモリを要求しないことを意味し、明確な優位点となっている。 |
| | * UPX(2.90 beta以上)では多くのプラットフォームで [[http://ja.wikipedia.org/wiki/LZMA|LZMA]] が利用可能になっている。しかし、古いコンピュータでは解凍速度が遅いので16ビット環境ではデフォルトで無効化されている(--lzmaオプションを用いると強制的に有効化できる)。 |
| | [[https://ja.wikipedia.org/wiki/UPX|UPX - Wikipedia]] より\\ |
| | |
| | ===== 逆コンパイラの前に逆アセンブルやデバッガ? ===== |
| | 逆アセンブラやデバッガには以下のようなものがある。(有名どころ)\\ |
| | しかし、ここで大事なことはプログラム解析手法には、静的プログラム解析 (Static Program Analysis) と 動的プログラム解析 (Dynamic Program Analysis) の 2 つがあることである。\\ |
| | 逆アセンブラ/逆コンパイラが静的解析 (プログラムの実行を必要としない解析) であり、デバッガは動的解析 (プログラムの実行を必要とする解析) である。(Java アプリの場合は両方の解析が必要)\\ |
| | マルウエアなどを動的解析するにはリスクを伴うので、通常は仮想マシンなどの [[https://ja.wikipedia.org/wiki/%E3%82%B5%E3%83%B3%E3%83%89%E3%83%9C%E3%83%83%E3%82%AF%E3%82%B9_(%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)|サンドボックス (Sandbox)]] 環境で解析が行われる。\\ |
| | * [[https://ghidra-sre.org/|Ghidra]] (ギドラ) |
| | * ギドラ ソフトウェア リバースエンジニアリング フレームワーク |
| | * 米国家安全保障局 (NSA) が 2019/03 にリリース 4 月にソース公開 |
| | * オープンソース: [[https://github.com/NationalSecurityAgency/ghidra|GitHub - NationalSecurityAgency/ghidra: Ghidra is a software reverse engineering (SRE) framework]] |
| | * [[https://ja.wikipedia.org/wiki/%E3%82%A6%E3%82%A3%E3%82%AD%E3%83%AA%E3%83%BC%E3%82%AF%E3%82%B9|ウィキリークス]]の [ [[https://en.wikipedia.org/wiki/Vault_7|Vault 7]] ] の一部としてリーク |
| | * [[https://en.wikipedia.org/wiki/Ghidra|Ghidra - Wikipedia]] (英語)\\ |
| | * [[https://www.hex-rays.com/products/ida/|IDA Pro]] (アイダ プロ) |
| | * Windows、Linux、MacOS 対応デバッガ (有償) |
| | * [[http://www.ollydbg.de/|OllyDbg]] (オリーデバッガ) |
| | * x86 用 Windows デバッガ (x64 非対応) |
| | * [[https://www.immunityinc.com/products/debugger/|Immunity Debugger]] (イミュニティー デバッガ) |
| | * [[https://debugger.immunityinc.com/|ダウンロード元]] |
| | * x86 用 Windows デバッガ (x64 非対応) |
| | * [[https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/|WinDbg]] |
| | * Microsoft 製 Windows デバッガ |
| | * x86/x64 ユーザモード/カーネルモード Hyper-V のアタッチ 対応 |
| | * [[https://www.radare.org/r/|Radare2]] |
| | * UNIX ライク リバースエンジニアリング フレームワークとコマンドラインツール |
| | * Linux, *BSD, Windows, OSX, Android, iOS, Solaris, Haiku |
| | * オープンソース: [[https://github.com/radare/radare2|GitHub - radare/radare2]] |
| | * [[https://x64dbg.com/|x64dbg]] |
| | * x86/x64 Windows デバッガ |
| | * オープンソース: [[https://github.com/x64dbg/x64dbg|GitHub - x64dbg/x64dbg: An open-source x64/x32 debugger for windows.]]\\ |
| | * [[https://github.com/eteran/edb-debugger|edb-debugger]] |
| | * クロスプラットフォーム(Linux, FreeBSD, OpenBSD, OSX, Windows AArch32/x86/x64 デバッガ |
| | * オープンソース |
| | |
| | ==== この分野のおすすめ関連書籍 ==== |
| | <WRAP multi-columns> |
| | <WRAP left> |
| | [[https://sites.google.com/site/analysingmalware/|アナライジング・マルウェア]]\\ - フリーツールを使った感染事案対処\\ |
| | {{:windows:analysing_malware_book.png?200|Analysing Malware}}\\ |
| | [[https://www.amazon.co.jp/gp/product/4873114551/ref=as_li_tl?ie=UTF8&camp=247&creative=1211&creativeASIN=4873114551&linkCode=as2&tag=tomoyan041-22&linkId=2523f4a693e22a47c83ffdf73f2f6016|Amazon]]\\ |
| | </WRAP> |
| | <WRAP left> |
| | [[https://www.oreilly.co.jp/books/9784873114484/|リバースエンジニアリング]]\\ - Pythonによるバイナリ解析技法\\ |
| | {{:windows:reverse_engineering_book.png?200|リバースエンジニアリング - Pythonによるバイナリ解析技法}}\\ |
| | [[https://www.amazon.co.jp/gp/product/4873114489/ref=as_li_tl?ie=UTF8&camp=247&creative=1211&creativeASIN=4873114489&linkCode=as2&tag=tomoyan041-22&linkId=eca4d0e897cf23e0fdcc5f042a3dd850|Amazon]]\\ |
| | </WRAP> |
| | <WRAP left> |
| | [[http://0xcc.net/binhacks/|Binary Hacks]]\\ - ハッカー秘伝のテクニック100選\\ |
| | {{:windows:binary_hacks_book.png?200|Binary Hacks}}\\ |
| | [[https://www.amazon.co.jp/gp/product/4873112885/ref=as_li_tl?ie=UTF8&camp=247&creative=1211&creativeASIN=4873112885&linkCode=as2&tag=tomoyan041-22&linkId=201ce8d8d1d13afee953de0723cbc878|Amazon]]\\ |
| | </WRAP> |
| | </WRAP> |
| | |
| | ===== インターネット上で起きているセキュリティ事件の速報 ===== |
| | セキュリティを深めるために、現在インターネット上で起こっている事件の速報情報を入手することはとても大事なことである。\\ |
| | いつ自分がそのようなセキュリティリスクに直面するか分からないので、日ごろからそのような情報を集めて対策を行っておくことが重要である。\\ |
| | 情報セキュリティ、サイバーセキュリティに関して、以下に有益な情報を提供するサイトを何個か記載しておく。\\ |
| | |
| | ==== セキュリティブログ ==== |
| | [[https://blog.avast.com/|Avast Blog]] (英語)\\ |
| | [[https://blog.avast.com/jp|Avast 公式 セキュリティ ブログ]] (日本語)\\ |
| | [[https://security.sios.com/|OSSセキュリティブログ - サイオスセキュリティブログ]] (日本語)\\ |
| | [[https://www.cylance.com/ja_jp/blog.html|ブラックベリーサイランス (AI セキュリティ会社) ブログ]] (日本語)\\ |
| | [[https://blog.trendmicro.co.jp/|トレンドマイクロ セキュリティブログ]] (日本語)\\ |
| | [[https://blog.semmle.com/tags/cve/|CVE | Semmle Blog]] (英語)\\ |
| | |
| | ==== 脆弱性情報源 ==== |
| | [[http://jvn.jp/|Japan Vulnerability Notes]] (日本語)\\ |
| | [[https://twitter.com/jvnjp|Japan Vulnerability Notes - Twitter]] (日本語)\\ |
| | [[https://jvndb.jvn.jp/|JVN iPedia - 脆弱性対策情報データベース]] - 脆弱性情報をデータベース化し一般向けに公開\\ |
| | * CVE: 脆弱性のID |
| | * CVSS: 脆弱性の深刻度点数 |
| | * CWE: 脆弱性のカテゴリ |
| | [[https://qiita.com/sahn/items/563db4345f9ce502f3d2|ざっくり分かる脆弱性指標 - CVE CVSS CWE - Qiita]] より\\ |
| | [[https://www.jpcert.or.jp/|JPCERT コーディネーションセンター]]\\ |
| | [[https://cve.mitre.org/|CVE - Common Vulnerabilities and Exposures (CVE)]] (英語)\\ |
| | [[https://www.ipa.go.jp/security/announce/alert.html|IPA 独立行政法人 情報処理推進機構:重要なセキュリティ情報一覧]]\\ |
| | |
| | ==== Web 改竄情報源 ==== |
| | [[http://www.zone-h.org/|Zone-H.org - Unrestricted information]] - エストニアのセキュリティーニュースサイト\\ |
| | ※Zone-H.org にはサイバー犯罪アーカイブがある。<html><span style="color: red;"><b>注意: 操作やアクセスはすべて自己責任で!!</b></span></html>\\ |
| | [[http://izumino.jp/Security/def_jp.html|JPドメイン Web改竄速報]]\\ |
| | (注意: 2019/09/14現在 zone-h の CAPTCHA 変更により 2018/05 中旬よりリアルタイム更新が止まっているようである)\\ |
| | [[http://www.malwaredomainlist.com/mdl.php|Malware Domain List]] (英語)\\ |
| | ※こちらも、<html><span style="color: red;"><b>注意: 操作やアクセスはすべて自己責任で!!</b></span></html>\\ |
| | |
| | === Web 改竄検知ツール === |
| | **Tripwire**\\ |
| | [[https://www.tripwire.co.jp/about/|Tripwireについて|トリップワイヤ・ジャパン株式会社]]\\ |
| | [[https://sourceforge.net/projects/tripwire/|Open Source Tripwire]] (商用版もあり)\\ |
| | [[https://github.com/Tripwire/tripwire-open-source|GitHub - Tripwire/tripwire-open-source: Open Source Tripwire®]]\\ |
| | [[https://qiita.com/progrhyme/items/f65c3a56cf6e5e954f8d|Tripwireによるファイル改ざん検知の導入〜設定〜運用の流れ - Qiita]]\\ |
| | [[https://wiki.itadmins.net/security/tripwire|Tripwire [IT Admins Group]]]\\ |
| | |
| | ==== ソースコード セキュリティ分析 ==== |
| | [[https://lgtm.com/|LGTM - Continuous security analysis]]\\ |
| | |
| | ===== 参考文献 ===== |
| | [[https://www.japan-secure.com/|ネットセキュリティブログ]]\\ |
| | [[https://www.japan-secure.com/entry/blog-entry-198.html|マルウェア検体を入手する方法について]]\\ |
| | [[https://reverseengineering.stackexchange.com/questions/6922/what-is-the-linux-equivalent-to-ollydbg-and-ida-pro|debuggers - What is the linux equivalent to OllyDbg and Ida Pro? - Reverse Engineering Stack Exchange]]\\ |
| | [[https://en.wikipedia.org/wiki/Ghidra|Ghidra - Wikipedia]]\\ |
| | [[https://www.cylance.com/ja_jp/blog.html|ブログ | Cylance Japan株式会社]]\\ |
| | [[https://www.cylance.com/ja_jp/blog/jp-an-introduction-to-code-analysis-with-ghidra.html|脅威のスポットライト:Ghidraによるコード解析入門| Cylance Japan株式会社]]\\ |
| | [[https://wikileaks.org/|WikiLeaks]] - [Vault 7] の公開元\\ |
| | [[https://the01.jp/p0004740/|暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編) - THE ZERO/ONE]]\\ |
| | [[https://the01.jp/p0004753/|暴露されたCIAの諜報能力「Vault 7」の衝撃度(中編) - THE ZERO/ONE]]\\ |
| | [[https://the01.jp/p0004767/|暴露されたCIAの諜報能力「Vault 7」の衝撃度(後編) - THE ZERO/ONE]]\\ |
| |
