アナライジング・マルウェアのサンプルはWin8じゃ動かない!!!
最近アナライジング・マルウェアという本を読み始めました.
アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing)
- 作者: 新井悠,岩村誠,川古谷裕平,青木一史,星澤裕二
- 出版社/メーカー: オライリージャパン
- 発売日: 2010/12/20
- メディア: 単行本(ソフトカバー)
- 購入: 8人 クリック: 315回
- この商品を含むブログ (22件) を見る
マルウェアは簡単に解析できないように
- Packing
- Polymorphism
- Metamorphism
等の対策が施されています.それらが具体的に
- どのようなもので,
- どのように解析を妨害するのか,
それらを知るために読み始めました.
しかし,1章から壁にぶつかりました...書いてある操作を行うとエラーを吐くのです...
環境
ホストOS: MacOSX 10.10 仮想化ソフト: Parallels ゲストOS: Windows8.1(64bit)
発生箇所
Immunity debuggerを用いてサンプルのmalware.exeを解析する箇所.(p.24から
そこで,malware.exeをImmunity debuggerへドラッグ&ドロップして開こうとするとエラーが生じる.
エラー内容
上のような
アプリケーションを正しく起動出来ませんでした(0xc000007b)。 [OK]をクリックしてアプリケーションを閉じてください。
というエラーが表示され,解析をうまく進めることが出来ない.
解決策
ゲストOSをWindows7に変えて実行しましょう.
解決までの経緯
Immunity Debuggerの問題じゃないか?
ゲストOSのスナップショットを撮ってあるから,とりあえずマルウェアを実行してみよう!!!
ということで,実行してみました(サンプルだとしても,マルウェア初心者の自分は戦々恐々です
上のエラーと同じ結果が得られました.ということは,Immunity debuggerの問題では無いはず
少し前の本なので,もしや32bit用にバイナリが作られているのでは?
たとえ64bit環境でも,32bitプログラムはWOW64という機能により動くはずですが,試しに32bitのWindows8をインストールして実行してみました. が,しかしエラーは変わらず.
その後紆余曲折あり,
そもそもWindows8じゃダメなんじゃないか.少し前の本だし
ということで,Windows7のゲストOSを用意し,同様の操作を行いました.そしたら無事解決.
これで読み進められそうです. 調べても解決策が見つからなかったので,同じような問題に直面した方の助けになれば.