Tweet
Tweet

Slide 1

Slide 1 text

No content

Slide 2

Slide 2 text

No content

Slide 3

Slide 3 text

No content

Slide 4

Slide 4 text

No content

Slide 5

Slide 5 text

No content

Slide 6

Slide 6 text

• • • • • • • • • • • • • •

Slide 7

Slide 7 text

• • • •

Slide 8

Slide 8 text

• • • • • • • • • • • • • •

Slide 9

Slide 9 text

• • • • • • • • • • • • •

Slide 10

Slide 10 text

No content

Slide 11

Slide 11 text

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • •

Slide 12

Slide 12 text

• • • • • •

Slide 13

Slide 13 text

typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; ... DWORD SizeOfCode; // コード全体のサイズ ... DWORD AddressOfEntryPoint; // エントリポイントのアドレス (RVA) DWORD BaseOfCode; // コード領域のベースアドレス (RVA) DWORD BaseOfData; // グローバル変数などの値が確定していないデータ領域のベースアドレス (RVA) DWORD ImageBase; // 仮想メモリにロードされるときの開始(ベース)アドレス // RVAはImageBaseのアドレスを引いた相対アドレス ... DWORD SizeOfImage; // メモリにロードされたときの全体サイズ DWORD SizeOfHeaders; ... IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // インポート情報やエクスポート情報などへのアドレス (RVA) } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

Slide 14

Slide 14 text

No content

Slide 15

Slide 15 text

• • • • • •

Slide 16

Slide 16 text

No content

Slide 17

Slide 17 text

• • • • • • •

Slide 18

Slide 18 text

• • • • • • • •

Slide 19

Slide 19 text

• • • •

Slide 20

Slide 20 text

• MOV EBX, EAX ADD EAX, $0x4 … MOV EBX, EAX ADD EAX, $0x4 … • • • mov_i32 ebx, eax movi_i32 tmp1, 0x4 add_i32 eax, tmp1 •

Slide 21

Slide 21 text

•

Slide 22

Slide 22 text

•

Slide 23

Slide 23 text

No content

Slide 24

Slide 24 text

No content

Slide 25

Slide 25 text

• • • • • • • • •

Slide 26

Slide 26 text

• • •

Slide 27

Slide 27 text

• • • • •

Slide 28

Slide 28 text

• • • • •

Slide 29

Slide 29 text

No content

Slide 30

Slide 30 text

• • • • •

Slide 31

Slide 31 text

• • • • • •

Slide 32

Slide 32 text

• •

Slide 33

Slide 33 text

• • • • • • • •

Slide 34

Slide 34 text

from datetime import date from hashlib import sha256 def dyre_dga(num, date_str=None): if None == date_str: date_str = '{0.year}-{0.month}-{0.day}'.format(date.today()) tlds = ['.cc', '.ws', '.to', '.in', '.hk', '.cn', '.tk', '.so'] hash = sha256('{0}{1}'.format(date_str, num)).hexdigest()[3:36] replace_char = chr(0xFF & ((num % 26) + 97)) return '{0}{1}{2}:443'.format(replace_char, hash, tlds[num % len(tlds)]) todays_domains = [dyre_dga(i) for i in xrange(333)]

Slide 35

Slide 35 text

• • • •

Slide 36

Slide 36 text

• •

Slide 37

Slide 37 text

• • •

Slide 38

Slide 38 text

No content

Slide 39

Slide 39 text

No content

Slide 40

Slide 40 text

• • • • • • • • •

Slide 41

Slide 41 text

• • • •

Slide 42

Slide 42 text

• •

Slide 43

Slide 43 text

cmp eax, 0x7E0 je 0xdeadbaad if(x!=2016) Invalid. ASSERT( INPUT_*_*_* =0hex7E0 ); (a1 or !a2 or a3 … or an) and (b1 or b2 or !b3 … or !bn) and …

Slide 44

Slide 44 text

No content

Slide 45

Slide 45 text

• •

Slide 46

Slide 46 text

•

Slide 47

Slide 47 text

No content

Slide 48

Slide 48 text

• •

Slide 49

Slide 49 text

No content

Slide 50

Slide 50 text

•

Slide 51

Slide 51 text

No content

Slide 52

Slide 52 text

• • • • • •

Slide 53

Slide 53 text

• • •