TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

偽装手法: 難読化 (まとめ)

概要

【辞書】

◆難読化コード (Wikipedia)
https://ja.wikipedia.org/wiki/%E9%9B%A3%E8%AA%AD%E5%8C%96%E3%82%B3%E3%83%BC%E3%83%89


【概要】

分類 説明
コンパイル前に難読化する手法 Control Flow Flattening, Bogus Control Flow, Instructions Substitution
コンパイル後に難読化する手法 パッカーなどを使用



手法 解説 対応方法
Control Flow Flattening 実行フローを複雑化し、解析を困難にする D-810(IDA Pro), DynDataResolver(IDA Pro), obfDetect(IDA Pro)
Bogus Control Flow 偽のフローを挿入
Instructions Substitution 複雑な命令に置換



ツール URL
D-810 https://gitlab.com/eshard/d810/
DynDataResolver https://github.com/Cisco-Talos/DynDataResolver/
obfDetect https://github.com/mcdulltii/obfDetect/


記事

【ニュース】

■2004年

◆BlackHat Japan 2004 - 効率のよい脆弱性への対処と難読化したプログラムの解読方法 (マイナビニュース, 2004/10/19)
http://news.mynavi.jp/articles/2004/10/19/blackhat1/
https://malware-log.hatenablog.com/entry/2004/10/19/000000


■2017年

◆JavaScriptによる新種の難読化マルウェア解析方法 (Teck Talk, 2017/07/04)
https://techtalk.pcmatic.jp/20170704171526/
https://malware-log.hatenablog.com/entry/2017/07/04/000000_1


■2020年

◆ORK(オーク)-コード難読化コンパイラツール vol.1 (LINE, 2020/04/15)
https://engineering.linecorp.com/ja/blog/ork-vol-1
https://malware-log.hatenablog.com/entry/2020/04/15/000000_10

◆ORK(オーク)-コード難読化コンパイラツール vol.2 (LINE, 2020/04/15)
https://engineering.linecorp.com/ja/blog/ork-vol-2/
https://malware-log.hatenablog.com/entry/2020/04/15/000000_9


【ブログ】

■2019年

◆.NETプログラムの難読化ツールの紹介と使ってみた感想 (れいんの技術録, 2019/01/31)
https://rabbitfoot.xyz/code-obfuscation/
https://malware-log.hatenablog.com/entry/2019/01/31/000000_7

◆Down the Malware Rabbit Hole – Part 1 (Securi, 2019/10/03)
https://blog.sucuri.net/2019/10/down-the-malware-rabbit-hole-part-1.html
https://malware-log.hatenablog.com/entry/2019/10/03/000000_13

◆Down the Malware Rabbit Hole: Part II (Securi, 2019/11/18)
https://blog.sucuri.net/2019/11/malware-rabbit-hole-part-2.html
https://malware-log.hatenablog.com/entry/2019/11/18/000000_8

【関連まとめ記事】

全体まとめ

◆偽装手法 (まとめ)
https://malware-log.hatenablog.com/entry/Impersonation_Method