概要
【辞書】
◆難読化コード (Wikipedia)
https://ja.wikipedia.org/wiki/%E9%9B%A3%E8%AA%AD%E5%8C%96%E3%82%B3%E3%83%BC%E3%83%89
【概要】
分類 | 説明 |
---|---|
コンパイル前に難読化する手法 | Control Flow Flattening, Bogus Control Flow, Instructions Substitution |
コンパイル後に難読化する手法 | パッカーなどを使用 |
手法 | 解説 | 対応方法 |
---|---|---|
Control Flow Flattening | 実行フローを複雑化し、解析を困難にする | D-810(IDA Pro), DynDataResolver(IDA Pro), obfDetect(IDA Pro) |
Bogus Control Flow | 偽のフローを挿入 | |
Instructions Substitution | 複雑な命令に置換 |
ツール | URL |
---|---|
D-810 | https://gitlab.com/eshard/d810/ |
DynDataResolver | https://github.com/Cisco-Talos/DynDataResolver/ |
obfDetect | https://github.com/mcdulltii/obfDetect/ |
記事
【ニュース】
■2004年
◆BlackHat Japan 2004 - 効率のよい脆弱性への対処と難読化したプログラムの解読方法 (マイナビニュース, 2004/10/19)
http://news.mynavi.jp/articles/2004/10/19/blackhat1/
⇒ https://malware-log.hatenablog.com/entry/2004/10/19/000000
■2017年
◆JavaScriptによる新種の難読化マルウェア解析方法 (Teck Talk, 2017/07/04)
https://techtalk.pcmatic.jp/20170704171526/
⇒ https://malware-log.hatenablog.com/entry/2017/07/04/000000_1
■2020年
◆ORK(オーク)-コード難読化コンパイラツール vol.1 (LINE, 2020/04/15)
https://engineering.linecorp.com/ja/blog/ork-vol-1
⇒ https://malware-log.hatenablog.com/entry/2020/04/15/000000_10
◆ORK(オーク)-コード難読化コンパイラツール vol.2 (LINE, 2020/04/15)
https://engineering.linecorp.com/ja/blog/ork-vol-2/
⇒ https://malware-log.hatenablog.com/entry/2020/04/15/000000_9
【ブログ】
■2019年
◆.NETプログラムの難読化ツールの紹介と使ってみた感想 (れいんの技術録, 2019/01/31)
https://rabbitfoot.xyz/code-obfuscation/
⇒ https://malware-log.hatenablog.com/entry/2019/01/31/000000_7
◆Down the Malware Rabbit Hole – Part 1 (Securi, 2019/10/03)
https://blog.sucuri.net/2019/10/down-the-malware-rabbit-hole-part-1.html
⇒ https://malware-log.hatenablog.com/entry/2019/10/03/000000_13
◆Down the Malware Rabbit Hole: Part II (Securi, 2019/11/18)
https://blog.sucuri.net/2019/11/malware-rabbit-hole-part-2.html
⇒ https://malware-log.hatenablog.com/entry/2019/11/18/000000_8
【関連まとめ記事】
◆偽装手法 (まとめ)
https://malware-log.hatenablog.com/entry/Impersonation_Method