セキュリティ・キャンプ中央大会2012(2日目)


技術戦略室の村上です。引き続きセキュリティ・キャンプ(2日目)の報告をさせて頂きます。

昨日は、初日と言うこともあり特別講義やグループワーク等、キャンプの導入に係る内容が中心でしたが本日からクラス毎の専門講義となり文字通り朝から晩迄、それぞれの内容に取り組むことなります。

私が所属するソフトウェア・セキュリティ・クラスでは、始めにマルウェアの概要について説明した後、動的解析・静的解析の習得、グループ単位での実マルウェアの解析という講義の流れになります。特に実マルウェアの解析は、およそ6時間でグループ毎に解析を行い、解析結果をスライドに纏めて発表するため講師から見ても中々に骨のある内容と言えます。私の担当は、前半のマルウェア動的解析および静的解析のサワりになり、ツールおよび紙ベースでのアセンブリ読解を行いました。

アセンブリ読経

この紙ベースでの演習は数年前から実施しており、セキュリティ・キャンプの中では「アセンブリ読経」と比喩(揶揄?)されています。仕事でマルウェア解析する際、こうした形で解析することは滅多にありませんが、個人的にはツールを使わずに紙でアセンブリ読解に取り組むのは2つの面で利点があると考えています。まず第一に、ツールに振り回されず「アセンブリを読む」作業に集中できる点です。これは、自転車に初めて乗る際、バランスを取りながらペダルを漕ぐのが難しいのに似ています。同時に複数のことは体得するのは難しいため「バランスを取る」、「ペダルを漕ぐ」を別々に訓練することでスムースに自転車に乗れるようになります(※)。

http://allabout.co.jp/gm/gc/184134/

話が脱線しましたが同じように紙で「アセンブリを読む」のと「ツールを使って解析する」のを分けることで順々に解析技術を身に着けられます。2つ目に紙の利点として自由に書き込みができることが挙げられます。IDA Proのようにコメントの入力や、関数名・変数名の編集等、それに近いことを実現できるソフトウェアもありますが自由度という意味ではやはり紙に軍配が上がります。

ちなみにこの記事を書いている現時点では、岩村さんによるIDA Pro及びOllyDbgを用いた解析手法の講義が行われています。このまま本日の夕方から実マルウェアの解析に着手し、明日の昼には発表となる予定です。発表内容については改めて報告させて頂きます。

岩村さんのレクチャーの模様

 


関連記事

セキュリティ・キャンプ中央大会2012(1日目)

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

HOME  ≫ FFRIセキュリティ BLOG  ≫ 2012年  ≫ 2012年8月  ≫ セキュリティ・キャンプ中央大会2012(2日目)

pagetop