Shikata Ga Nai

Private? There is no such things.

PeStudioでマルウェアを静的解析してみた

デジタルフォレンジック

 Hello there, ('ω')ノ

 

単一のファイルを静的解析するのに『PeStudio』というツールがあって。

 https://www.winitor.com/get.html

 

f:id:ThisIsOne:20200303183249p:plain

 

ダウンロードして、『PeStudio』を起動するとこんな感じで。

 

f:id:ThisIsOne:20200303183632p:plain

 

今回は、下記のところからマルウェアのサンプルを取得して。

その前にアンチウィルスソフトは、無効に。

 https://www.malware-traffic-analysis.net/2019/09/18/index.html

 

f:id:ThisIsOne:20200303202641p:plain

 

解凍したら、下記のファイルをPeStudioで読み込んで。

 2019-09-18-updated-Emotet-malware-binary

 

f:id:ThisIsOne:20200303195839p:plain

 

左のペインで赤文字のところにマルウェアが含まれている疑いがあって。

 

f:id:ThisIsOne:20200303200317p:plain

 

『 virustotal』を見るとブラックリストに登録された文字が56件あるようで。



f:id:ThisIsOne:20200303195648p:plain

 

『imports』では、ブラックリストに登録されたライブラリファイルを確認できて。

 

f:id:ThisIsOne:20200303200656p:plain

 

『strings』では、文字列の内容を確認できて。

こんな感じで深堀りしていくことになるかと。

 

f:id:ThisIsOne:20200303201148p:plain

 

Best regards, (^^ゞ