Name Not Found

情報工学を学ぶ理系大学生の雑記

アナライジング・マルウェアのサンプルはWin8じゃ動かない!!!

最近アナライジング・マルウェアという本を読み始めました.

アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing)

アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing)

マルウェアは簡単に解析できないように

  • Packing
  • Polymorphism
  • Metamorphism

等の対策が施されています.それらが具体的に

  • どのようなもので,
  • どのように解析を妨害するのか,

それらを知るために読み始めました.

しかし,1章から壁にぶつかりました...書いてある操作を行うとエラーを吐くのです...

環境

ホストOS: MacOSX 10.10 仮想化ソフト: Parallels ゲストOS: Windows8.1(64bit)

発生箇所

Immunity debuggerを用いてサンプルのmalware.exeを解析する箇所.(p.24から

そこで,malware.exeをImmunity debuggerへドラッグ&ドロップして開こうとするとエラーが生じる.

エラー内容

f:id:Oga-Jun:20150607171216p:plain

上のような

アプリケーションを正しく起動出来ませんでした(0xc000007b)。
[OK]をクリックしてアプリケーションを閉じてください。

というエラーが表示され,解析をうまく進めることが出来ない.

解決策

ゲストOSをWindows7に変えて実行しましょう.

解決までの経緯

Immunity Debuggerの問題じゃないか?

ゲストOSのスナップショットを撮ってあるから,とりあえずマルウェアを実行してみよう!!!

ということで,実行してみました(サンプルだとしても,マルウェア初心者の自分は戦々恐々です

上のエラーと同じ結果が得られました.ということは,Immunity debuggerの問題では無いはず

少し前の本なので,もしや32bit用にバイナリが作られているのでは?

たとえ64bit環境でも,32bitプログラムはWOW64という機能により動くはずですが,試しに32bitのWindows8をインストールして実行してみました. が,しかしエラーは変わらず.

その後紆余曲折あり,

そもそもWindows8じゃダメなんじゃないか.少し前の本だし

ということで,Windows7のゲストOSを用意し,同様の操作を行いました.そしたら無事解決.

これで読み進められそうです. 調べても解決策が見つからなかったので,同じような問題に直面した方の助けになれば.