とてむのログおきば

だらだらとパソコンを触る大学生のブログ

セキュリティキャンプ 2016に参加した -四日目編-

totemです

セキュリティキャンプ 2016に参加したので、その思い出を時系列で書いておこうと思います
これはその4日目のエントリーです

 

感想:   セキュリティキャンプ 2016に参加した - /var/log/totem.log

1日目: セキュリティキャンプ 2016に参加した -初日編- - /var/log/totem.log

2日目: セキュリティキャンプ 2016に参加した -二日目編- - /var/log/totem.log

3日目: セキュリティキャンプ 2016に参加した -三日目編- - /var/log/totem.log

5日目: セキュリティキャンプ 2016に参加した -最終日編- - /var/log/totem.log

四日目

8時20分に起きました。朝ごはん食べ損ねました。
寝ぐせ全開のまま講義に向かいました。

6・7-F なぜマルウエア解析は自動化できないのか

各講義は基本的に4時間で行われます

午前は8:30~12:30、午後は13:30~17:30 ですが、この講義では午前午後を両方費やす集中講義です

講義スライドは

なぜマルウェア解析は自動化できないのか // Speaker Deck

にあります

講義の前半では、まずIDAで与えられたマルウエア風プログラムの静的解析を行いました

みなさんどんどんIDAで解析されていたのですが、僕は勉強不足で、その時点でチューターさんに助けを求めました。でもどこを見ればいいかがサクッとわかったので勉強になりました

やっぱり普段からバイナリを解析する訓練を積まなきゃいけないなと思いました(キャンプまでにIDAに読み込んだことあったのはたったの2ファイルでした)

マルウエア風プログラムを読んだ後は、そのプログラムをサンドボックスに投げた際に検知を回避するようなプログラムを書きました。

書いていいのかわからないので内容は省略します。

マルウェア検知の回避を行ったところでお昼になりました。

 

昼食

写真がありませんでした?

お昼はビビンバハンバーグでした
どうでもいいですけど僕はキムチが苦手です(もちろん食べました)

6・7-F なぜマルウエア解析は自動化できないのか

後半の講義ではサンドボックスのDECAFのプラグインを書いて、前半の講義で用いたマルウエア風プログラムの挙動を自動で調査するということをやりました

仮想化技術を用いたマルウェア解析 // Speaker Deck

これも書いていいのかわからないので詳しい内容は省略します

このページを見るとなんとなくやったことがわかりやすいと思います(講師の方が書かれたものです)

正直自分の技術力不足で全然自動で解析するところまでいかなかったので反省です

今後も少しずつDECAFやサンドボックスは触っていきたいと思っているので、今後きちんと自動で解析できるとこまでやっておきたいと思います

ちなみに事前課題はUnicornというqemuを利用したエミュレーターでropコードのエミュレーションを行うことが課題でした

夕食

優勝w!

豪華な夕食です。
ちなみにですがのんびり食べていると鉄板の火が消えて肉が焼けなくなります
僕はそれをやらかしました

企業プレゼン

NTTデータ先端技術株式会社さんのプレゼンでした

具体的なことは書いていいかわからないので書きません。

またこの講義の前にIPA情報処理技術者試験を作っていらっしゃる方にお話を伺わせていただいたのですが、実際にIPAや国がIT系について行なっている施策や考え方などを伺うことが出来、勉強になりました。

コンビニ

いきませんでした

グループワーク

最後のグループワークでした
結局夜までもつれこんでしまいました

ちょっと僕が色々ミスってしまって結局作業が3時半くらいまで長引いてしまったので本当に申し訳ない感じでした...

深夜のテンションは怖いです
班員の皆さんが優しくて本当に助かりました

結局4時半くらいに寝ました
そんな感じで4日目を終えました