サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター
カテゴリを選択
製品
トレーニング
サービス
サポート
FAQ
ホーム
サイバーフォレンジックセンターについて
製品
デジタル・フォレンジック
ソフトウェア
データ調査解析ソフトウェア
パスワード解析ソフトウェア
携帯端末データ解析ソフトウェア
画像解析ソフトウェア
ハードウェア
証拠保全用データコピー装置
パスワード解析ハードウェア
データ書込み防止装置
データ解析ワークステーション
インシデント・レスポンス
ソフトウェア
保全・データ収集ソフトウェア
エンドポイントセキュリティソフトウェア
プログラム解析ソフトウェア
その他
ソフトウェア
eDiscoveryソフトウェア
ハードウェア
データ消去装置
その他のハードウェア
トレーニング
サービス
Proactive Support
ファシリティ構築・導入支援サービス
カスタマイズトレーニングサービス
Digital Investigation
インターネットコミュニケーションインシデント解析サービス
マルウェア感染インシデント解析サービス
フォレンジック調査サービス
Security Consulting
セキュリティ運用・監視サービス
セキュリティ診断サービス
セキュリティコンサルティングサービス
セキュリティポリシー"リスクアセスメント支援
サイバーセキュリティ緊急連絡受付サービス
Other Service
証拠保全・データ収集サービス
データの同一性・状態証明サービス
eDiscovery
カタログ
ナレッジ
ホーム
>
サポート情報一覧
> IDA Pro・Responder Pro・Shadow3を用いたマルウェアの解析例 目 次
IDA Pro・Responder Pro・Shadow3を用いたマルウェアの解析例 目 次
1
はじめに
2
マルウェアの表層解析
3
マルウェアの動的解析の準備
4
マルウェアを動作させてみる
5
マルウェア動作時のメモリ解析
6
マルウェアの内部を解析する
7
CryptoWallの「メモリの怪しい使い方」の発見
8
メモリに展開されたプログラムはどこから来たのか?
9
仮想メモリ取得した方法の正体
10
仮想メモリ内の難読化
11
仮想メモリ内のWindows APIの使用
12
仮想メモリ内のWindows API使用フロー
13
新たな仮想メモリに展開された情報の内容
14
展開されたプログラムの行き先
15
新しいスレッドの追跡
16
再展開されたプログラムのImportテーブル
17
PC毎固有の「ハッシュ値」の計算
18
イベントの登録と別プロセスの起動
19
作成されたプロセス上のランサムウェアの追跡
20
ランサムウェアの自動起動設定
21
svchostの起動とVolume Shadow Copyの消去
22
コード上の「int 3」
23
svchost上のImportテーブル
24
通信先URLの展開
25
CryptoWallの通信(1回目)
26
CryptoWallの通信(2回目)
27
CryptoWallの脅迫文の生成とファイル出力
28
CryptoWallの暗号化処理の準備
29
CryptoWallによる暗号化処理(前編)
30
CryptoWallによる暗号化処理(後編)
31
CryptoWallの暗号化レイアウト
32
「攻撃する側の論理」からのプログラムの推察
33
おわりに
