嫁に白い目に見られながら、なんとかマルウェア・アナライジングの一章を一通り読み終わりました。

アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing)

• 作者: 新井悠,岩村誠,川古谷裕平,青木一史,星澤裕二
• 出版社/メーカー: オライリージャパン
• 発売日: 2010/12/20
• メディア: 単行本（ソフトカバー）
• 購入: 8人 クリック: 315回
• この商品を含むブログ (22件) を見る

で、ここで紹介されていたツールがマルウェアの解析においてどのような目的で使われているかという視点で、一通りまとめてみました。一言ずつ適当なコメントをいれていますが、使ってみた上で何か起きても保障はいたしません。

1. ファイルの判別　(P.8)
<ツールの目的>　解析対象のファイルの形式を識別する。

• TrID http://mark0.net/soft-trid-e.html

解析対象のファイルの形式の識別。シグネチャデータベースより判定

• Stud_PE http://cgsoftlabs.ro/studpe.html

解析対象のPEファイルがEXE形式か、DLL形式化を判別する。

2. パッカーの確認　(P.20)
<ツールの目的> マルウェアが存在していることの有益な情報になるパッカーによる圧縮がおこなわれているかを確認する。

• BinText http://www.foundstone.com/us/resources/proddesc/bintext.htm

文字列の抽出。ファイルに含まれるWindowsのAPIを見つけ出すなど。

• LoadPE http://www.woodmann.com/collaborative/tools/index.php/LordPE

パッカーによる圧縮がおこなわれているかの確認（ LoadLibrary, GetProcAddress （Windows API）を見つける。）

• PEiD http://www.peid.info/

パッカーによる圧縮がおこなわれているかの確認。標準で670のシグネチャを実装。追加も可能。

• TitanEngine http://www.reversinglabs.com/products/TitanEngine.php

Immunity Debuggerのプラグインとして使用。

3．アンパッカー (P.29)
<ツールの目的> 圧縮してあるエリアのアンパック（解凍）

• OllyDbg http://www.ollydbg.de/

プラグインをいれてアンパックをおこなう。

• OllyScript http+//www.openrce.org/downloads/details/106/OllyScript

今回のアンパックで使ったOllyScriptの入手先。

• RL!depacker

使い方がとても簡単なアンパッカー

4．動的解析　（P.36）
　<ツールの目的>　マルウェアを実際に動作させてその挙動を確認する。

• Process Monitor http://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx

Microsoft謹製のMalware動的解析ツール

• Malcode Analysis Pack http://labs.idefense.com/software/malcode.php

動的解析をおこなうツールの詰め合わせ

• SysAnalyzer http://labs.idefense.com/files/labs/releases/previews/SysAnalyzer/

自動解析後、解析のレポートが生成される

• FlyPaper https://hbgary.com/popular/flypaper/

リバースエンジニアリング対策でマルウェアが実行しようとするプロセス終了に対して、このツールは阻止をする。

• BlackManta http://drop.io/blackmanta/

Immunity Debuggerのプラグイン。マルウェアの感染動作を確認できる。

5．静的解析　（P.42）
　＜ツールの目的＞　マルウェアのバイナリをリバースエンジニアリングして解析する

• IDA Pro http://www.hex-rays.com/idapro/idadownfreeware.htm

超強力静的解析ツール。とてもお高いですが、非商用のフリー版がある。