O'Reilly から 12/15 に新しく発刊されたマルウェア解析本を購入しました。
目次 → O'Reilly Japan - 初めてのマルウェア解析
8月に「Ghidra 実践ガイド」なる解析ツールの解説書を購入しましたが、今回のマルウェア解析本は、リバースエンジニアリングに必要な Windows のファイルシステムの基礎から、静的解析や動的解析、アンパック技法、メモリ解析など・・・解析に必要となる基礎的なことからテクニック的なことまでが体系的にまとめられている、まさに O'Reilly 本です。
ホンネをいえば、もう 10 年早くこういう本が日本語で翻訳されていたら、意味も分からず闇雲にやっていた、ただただ疲れるだけのプログラム解析が、もっと楽しくやれたんじゃないかと、今さらながらそう感じております。
で、前回購入した Ghidra 実践ガイドの副本として同時並行で読み進めることで、より深くリバースエンジニアリングを知ることができて、解析時間も短縮できるんじゃないかと思います。
ちなみに本書の解析ツールは IdaPro ですが、Windows のファイルシステムは解析ツールで変わることはありませんので、無償で入手できる Ghidra や OllyDbg でも同じように解析を進めていけるので問題はありません。
■ ■ ■
実はわたしは表題のマルウェアの解析ということにはまったく興味がなくて・・・どちらかと言えば、一般的なアプリの中を覗き見るのが好きなだけなんです。
「このアプリのこの機能はどうやって作ってるんだろう」と、インポートしている Windows API やその引数なんかが知りたくて、数年前までは睡眠時間を削ってまで解析に熱くなってました。
ところが今どきのアプリは 64ビットなんで・・・もう人間が解析できるレベルを遥かに超えているし、それにその道のプロが作ったパッカーをアンパックなんてできっこないので、もう最近ではとんと解析などという疲れることはやってませんが、こういう書籍が発売されるとついつい金額を気にせずポチってしまいます。
それでも、今でも時々は、32ビットの CrackMe と戯れてはいるんですが・・・。
(Crackme とは、リバースエンジニアリングを学ぶために作られた演習用のプログラムです。)
Crackme って、こういったプログラムを解析してパスワードを当てる・・・ゲームみたいなものです。
わたしは、今だに OllyDbg 一筋です。
って、ホントは OllyDbg のように Ghidra が使えない・・・これがホンネのところなんです。。。
ということで、今日はまったくハムや電子工作に関係ない、どっちかというとセキュリティ分野の話題でした。