Presentation is loading. Please wait.

Presentation is loading. Please wait.

Windows PEファイル感染及び発見的手法による検知 Nicolas BRULEZ / Digital River

Published byともみ あきくぼ Modified 約 7 年前

Similar presentations

Presentation on theme: "Windows PEファイル感染及び発見的手法による検知 Nicolas BRULEZ / Digital River"— Presentation transcript:

1 Windows PEファイル感染及び発見的手法による検知 Nicolas BRULEZ / Digital River
PACSEC '04

2 はじめに

3 コンピュータ ウイルスの進化 非暗号化 暗号化 少形( Oligomorphic ) 多様型( Polymorphic )
変形型( Metamorphic )

4 PE ファイル形式 MZ ヘッダ PE ヘッダ PE ファイル ヘッダ PE オプショナル ヘッダ データ ディレクトリ セクション ヘッダ

5 位置独立コード ウイルスはどのメモリアドレスでも実行可能であること が要求される デルタ オフセットの計算

6 Windows PE ファイル 感染テクニック

7 ウイルスの位置 最後のセクション: - 新しいセクション BEFORE : AFTER :

8 ウイルスの位置 最後のセクション: - 新しいセクション

9 ウイルスの位置 最後のセクション: - 最後のセクションの拡張 BEFORE : AFTER :

10 ウイルスの位置 最後のセクション: - 最後のセクションの拡張

11 ウイルスの位置 ヘッダ感染

12 ウイルスの位置 キャビティ BEFORE : AFTER :

13 実行開始位置 最後のセクション内

14 実行開始位置 最初のセクション内

15 実行開始位置 最初のセクションの前

16 e_lfanew 感染 e_lfanewはPEヘッダ オフセットのポインタである MZヘッダ内のMZ+3Chにある
ウイルスはファイルの末尾にコピーされるが、独立した位置コー ドは不要である

17 e_lfanew 感染 プログラムが改変されることにより、そのe_lfanewはウイルスの PEヘッダにポイントする
そのためWindowsは感染したファイルではなく、ウイルスをロー ドする そしてウイルスは感染したプログラムの一時的なコピーを作成 し、 PEヘッダへの元のポインタを修正する 最後にウイルスは例えばCreateProcessAを用いて一時ファイル を実行し、終了後、一時ファイルを削除する

18 Windows PEファイルにおける発見的手法による検知

19 PE ファイルの構造解析 発見的手法による検知は主にWindows実行可能プログラムの PEファイルの構造解析に基づく エントリポイント
セクションの特性 (固有の特性をもつ)セクションの名前 PEヘッダ内で更新されない値 ファイル内のPEヘッダの位置 など

20 PE ファイルの構造解析 最後のセクション内のエントリポイント 最初のセクションの前のエントリポイント

21 PE ファイルの構造解析 セクションの特性 : セクション名およびその特性 - 最後のセクション « 実行可能 »
- 最後のセクション « 実行可能 » - 最初のセクション « 書き込み可能 » セクション名およびその特性

22 PE ファイルの構造解析 «SizeOfImage» PEヘッダ内で正しくない ファイルの終わり近くのPEヘッダ
« コードサイズ » 正しくない

23 コード解析 エントリ ポイントにおける非標準命令 デルタ オフセットの計算 疑わしいコードの出力先変更: - JUMP FAR
- PUSH RET   その他..

24 コード解析 PEファイルを探しているコード システムDLLのイメージベースを取得するためのPEB使用

25 コード解析 - "*.exe" コード セクション内の疑わしい文字列
- Win関数の名前: FindFirstFileA, MapViewOfFile など.. - レジストリ キー : Run / RunOnce など

26 エミュレーション JMP FAR PUSH / RET + コード・フローの出力先変更のための多様な方法
ディクリプタ エミュレーション( ループの識別)

27 対発見的テクニック

28 PE 構造 セクションの特性の非改変 追加された1つ以上のセクション (偽装リロケーション/インポー ト)
疑わしいものを避けるために上書きするコードセクションの部分 ウイルスを配置するコードセクションのパッキングは開放された 場所 EPO: エントリポイントの隠蔽

29 PEの構造 FF15/FF25 (IATスロットと呼ぶ) パッチ スタック フレーム パッチ 最新のチェックサム
既存のセクション名の変更(可能な場合) « コードサイズ » 固定

30 アンチ エミュレーション SEH – 構造化例外処理(Structured Exception Handling) コプロセッサ命令
MMX / SSE テクノロジ 隠し命令 アンチ仮想マシンコード 鍵をブルートフォースする暗号解読層 スレッド

31 アンチ ヒューリスティック(発見的) コード
デルタ オフセットは異なる方法で計算される 疑わしい行為を隠すオブフスケーション(不明瞭化)の使用法 (PEファイルチェックなど) ウイルスローダに文字列はない: CRC / HASH

32 基本的な発見的エンジンについて

33 基本エンジン 標準バイナリ : notepad, regedit, calc, MS Pain, WordPad など…

34 基本エンジン

35 基本エンジン

36 基本エンジン

37 基本エンジン 感染したバイナリの解析 : 多様型、暗号化、標準、 EPO など

38 基本エンジン

39 基本エンジン

40 基本エンジン

41 基本エンジン

42 基本エンジン

43 基本エンジン

44 ベーシック・エンジンのプレゼンテーション

45 基本エンジン

46 基本エンジン 注: これは基本エンジンにも関わらず、 最新のWin32ウイルスジェ ネレータ(Win32 Virus Generator)(VCL32)で作成された 全てのウイルスを発見的に検知した

47 基本エンジン パックされたファイルの解析: PE protect、 PEShield など …

48 基本エンジン

49 基本エンジン

50 基本エンジン

51 ディスアセンブリの実演

52 実演 新種のウイルス及びパックされたPE によって感染した新種のワーム 実在のウイルスのディスアセンブリの実演
このウイルスはごく最近出現したものであり、本講演資料が作成された 時点で、このウィルスを検出したアンチウイルス ベンダはほとんど いない

53 結論

54 Nicolas BRULEZ / Digital River
ご質問 Nicolas BRULEZ / Digital River PACSEC '04

Download ppt "Windows PEファイル感染及び発見的手法による検知 Nicolas BRULEZ / Digital River"

Similar presentations

G ゼミ 2010/5/14 渡辺健人. パフォーマンスの測定 CUDA Visual Profiler CUDA の SDK に標準でついているパフォーマン ス測定用のツール 使い方: exe ファイルのパスと作業ディレクトリ指定して実 行するだけ 注意点 : GPU のコード実行後にプログラム終了前に,

G ゼミ 2010/5/14 渡辺健人. パフォーマンスの測定 CUDA Visual Profiler CUDA の SDK に標準でついているパフォーマン ス測定用のツール 使い方: exe ファイルのパスと作業ディレクトリ指定して実 行するだけ 注意点 : GPU のコード実行後にプログラム終了前に,
九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.

九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.

第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
1 WORD の起動法と終了法 ● WORD の起動法 (1) デスクトップの Microsoft Word アイ コンをダブルクリックする。 * (2) 「スタート」 ― 「すべてのプログラ ム」 ― 「 Microsoft Word 」と選ぶ。 (3) Word で作成された文書があるとき は、そのアイコンをダブルクリック.

1 WORD の起動法と終了法 ● WORD の起動法 (1) デスクトップの Microsoft Word アイ コンをダブルクリックする。 * (2) 「スタート」 ― 「すべてのプログラ ム」 ― 「 Microsoft Word 」と選ぶ。 (3) Word で作成された文書があるとき は、そのアイコンをダブルクリック.
1 PC の情報を得る - 「システム情報」 ①「スタート」 → 「すべてのプログラム」 → 「アクセサリ」 → 「システム ツール」 → 「システム情報」とクリックする。 ②左欄の項目を選択すると、右欄に情報が表示される。

1 PC の情報を得る - 「システム情報」 ①「スタート」 → 「すべてのプログラム」 → 「アクセサリ」 → 「システム ツール」 → 「システム情報」とクリックする。 ②左欄の項目を選択すると、右欄に情報が表示される。
Web アプリをユーザー毎に カスタマイズ可能にする AOP フレームワーク

Web アプリをユーザー毎に カスタマイズ可能にする AOP フレームワーク
プログラムNo.:論文タイトル(必ず書いてください)

プログラムNo.:論文タイトル(必ず書いてください)
Windows XP ウィルス対策手順 1 感染の確認 感染している場合→2へ 感染していない場合→3へ 2 ウィルスの駆除

Windows XP ウィルス対策手順 1 感染の確認 感染している場合→2へ 感染していない場合→3へ 2 ウィルスの駆除
・ω・.

・ω・.
TeX で数式を書くための PowerPoint アドイン Ver (2011/06/26) Ver. 0.1 (2007/5/30)

TeX で数式を書くための PowerPoint アドイン Ver (2011/06/26) Ver. 0.1 (2007/5/30)
SDOPxls2xml操作説明書 version1.0

SDOPxls2xml操作説明書 version1.0
PROCESS 14:一般情報(2) InstallShieldLecture

PROCESS 14:一般情報(2) InstallShieldLecture
ファイルキャッシュを考慮したディスク監視のオフロード

ファイルキャッシュを考慮したディスク監視のオフロード
文字列検出ツール istrings の使い方

文字列検出ツール "istrings" の使い方
榮樂 英樹 LilyVM と仮想化技術 榮樂 英樹

榮樂 英樹 LilyVM と仮想化技術 榮樂 英樹
技術トピックス 2014/10.

技術トピックス 2014/10.
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.

コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
情報処理演習C2 ファイル操作について (2).

情報処理演習C2 ファイル操作について (2).
Linux リテラシ 2006 第2回 基本コマンド2.

Linux リテラシ 2006 第2回 基本コマンド2.
PCの情報を得る - 「システム情報」 ①「スタート」→「すべてのプログラム」→「アクセサリ」→「システム ツール」→「システム情報」とクリックする。 ②左欄の項目を選択すると、右欄に情報が表示される。

PCの情報を得る - 「システム情報」 ①「スタート」→「すべてのプログラム」→「アクセサリ」→「システム ツール」→「システム情報」とクリックする。 ②左欄の項目を選択すると、右欄に情報が表示される。

Similar presentations

Ads by Google