マルウェア解析 表層解析

解析環境にVirtualBox に Windows10 Pro環境を構築。

以下のサイトからWindows10のisoファイルを取得。VPNの使用しているとDLの規制に引っかかる可能性がある、のでVPNを無効。
https://www.microsoft.com/ja-jp/software-download/windows10

VirtualBox に Windows10.isoを取り込むときの注意点
https://fullstacklife.net/it/install-win10-for-virtualbox/

(課題) windows11はうまくいかなかった。

構築したWindow10 のセキュリティパッチを最新に更新。
Windows Defenderのリアルタイム保護を無効。
共有フォルダを無効。

ollyDbg 日本語化
https://foo22222.hatenablog.com/entry/2023/02/24/075926

HxD バイナリエディタ
ファイルシグニチャ
Windowsの実行ファイルは、最初の2バイトにMZ
Linux xxdコマンドでファイルシグニチャ

CFF Explorer でFile Type
ファイル名拡張子を非表示している場合でも、File Typeを確認する

マルウェアのフィンガープリント
ハッシュ値による調査。ファイル名を変更しても、ファイル内容が変更されない限りハッシュ値は変わらない。

HashMyFile
https://www.nirsoft.net/utils/hash_my_files.html

UPX

windows DL
https://github.com/upx/upx/releases/tag/v4.2.3

upx exeinfope.exe -o 9d.exe
upx: exeinfope.exe: AlreadyPackedException: already packed by UPX
Packed 1 file: 0 ok, 1 error.

upx -d exeinfope.exe
upx exeinfope.exe -o 9d.exe

PEStudio
UPX でパックするとimportの数が極端に少なくなる

UPX パック後

Python の pefile によるDLLとインポート関数の表示
コードは省略

pefile はpipからインストールできる