Windows Kernel Mode Driverのreflectiveなロードをやってみる 最新のWindows OSに対して任意の非署名ドライバをロードするツールとしてkdmapperなどが知られている． kdmapperは脆弱なIntel製ドライバiqvw64e.sysをエクスプロイトし，任意のシステムルーチ…

IDAPythonによる解析の自動化をやってみる(動的解析編) 前回の記事では，IDAPythonを使ってマルウェア解析工程の一部の自動化をやってみた．要約すると，IDAPythonを使って検体内に埋め込まれた暗号化されたAPI名を復号し，グローバルな変数をその値でリネー…

IDAPythonによる解析の自動化をやってみる 逆アセンブラ，デコンパイラのデファクトスタンダードなツールの一つにIDA Proがある．IDA ProはPythonを使ったスクリプティング機能を提供しており，この機能を使うことでプラグインといった形でIDA自身の機能を拡…