[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

タグ

解析に関するiaskellのブックマーク (2)

  • CCI:: CCI: Windows Season1 未知のバイナリの解析

    不揮発性データの分析 で検出したバイナリcmd.exe, nvuhgam32.exe, tnvztlp32.exeについて,その動作を解析する. 1.ウィルススキャン 手っ取り早くバイナリの正体を知るには,アンチウィルスベンダーが無償で提供するオンラインウィルススキャンを用いる.カスペルスキー社提供のファイルスキャナ によると,cmd.exeを除くnvuhgam32.exe, tnvztlp32.exeはマルウェアであることがわかった. この2つのバイナリは,Rbotとあるようにボットネットクライアントであり,下記文献によると,SDBotというボットネットの亜種であるようだ.スパイウェアとしての機能もあるらしい. (ところで,このは仮想ハニーポットの手法を,ハイインタラクション型・ローインタラクション型に分類しながら解 説しており,特に9章の「Detecting Honeypots」

  • Winnyの通信解読に挑戦!

    Winnyの通信を特定する方法には,「流れるパケットのパターン(トラフィック・パターン)を調べる方法」と,「パケットの中身を調べてWinnyのパケットであることを確認する方法」の2通りがある。前者は,直接中身のデータをのぞいているわけではないため,通信の秘密を守るという大前提があるプロバイダがWinnyを規制する際に使っている。しかし,Winnyの通信を確実に特定するなら,後者の方法がベストである。実際にWinnyの通信を解読できるのか,Winny作者の金子勇氏の著書『Winnyの技術』やインターネットで得られた情報などを参考に挑戦してみた。 Winny(ウイニー)同士の通信はすべて暗号化されている。このため,流れるパケットをのぞいても,内容がどんなものなのかだけでなく,Winnyの通信なのかどうかも,ひと目ではわからない。Winnyが採用している暗号アルゴリズムRC4は,Webアクセスや

    Winnyの通信解読に挑戦!
  • 1