Twitterに書ききれないこと

イベントや技術的なことを記したい・・・

Practical Malware Analysis Chapter 5

マルウェア解析についての有名な書籍にPractical Malware Analysisがある。

その書籍を勉強のために翻訳・要約した記事。

全訳ではないので、詳細は原書を読んでください。

Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

5章 IDA PRO

Interactive Disassembler Professional(IDA Pro)は、Hex-Raysが提供する非常に強力な逆アセンブラである。 他にも逆アセンブラが存在するが、多くのマルウェア解析がIDAが利用している。 IDAには、無償版と有償版の2つのバージョンがある。有償版はx86x64をサポートするが、無償版ではx86しかサポートしない。 IDAはPE、COFF、ELF、a.outなど様々なファイル形式をサポートするが、無償版は制限がある。

マルウェア解析では、基本的にx86x64のPEファイルが対象となる。 無償版でも解析は行えるが、マルウェア解析には有償版を利用ことが望ましい。

IDAは以下からダウンロードできる。

free version

www.hex-rays.com

demo version

www.hex-rays.com

IDAは、プログラム全体を逆アセンブルし、関数の発見、スタックの解析、ローカル変数の識別など多くのタスクを実行する。 IDAは、インタラクティブにディスアセンブル結果を再定義することができる。コメント、ラベル、関数名などの変更した内容は、IDB形式のファイルで保存できる。拡張機能としてプラグインを作成することや、導入することができる。

IDAに関する書籍としては、The IDA Pro Book: The Unofficial Guide to the World’s Most Popular Disassembler, 2nd Editionが有名である。

The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler

The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler