2018-04-01から1ヶ月間の記事一覧
Panda Banker 解析 (1) - 解析メモ ... 軽く動作確認 Panda Banker 解析 (2) - 解析メモ ... UnhandledExceptionFilter による耐解析機能 Panda Banker 解析 (3) - 解析メモ ... アンパック Panda Banker 解析 (4) - 解析メモ ... Extended Attribute (EA) …
Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ Panda Banker 解析 (4) - 解析メモ EA付きのペイロードが svchost.exe にコードインジェクションをしている疑惑を解明していく。 IDA Pro でインポー…
Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ 監視しているプロセスが分かったので、unpacked 検体を ProcessMonitor で確認する。 前回は Majuro.exe が実行されたところで止めていたが、少し泳が…
Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ ollyDbg で AccessViolation 以降のデバッグも大丈夫そうなので、解析を続ける。 プロセスツリーを見ると、子プロセスを実行すると同時に自プロセスを Terminate している。 自プロセス→…
blog.minerva-labs.com 今日はこの検体。 検体自体は PowerShell のスクリプトで、定番の Base64 でエンコードされているスクリプトを実行するタイプ。 WMI64.ps1 Neutrino.ps1 それぞれデコードしてみたら意外と長くなった。 デコードはスクリプトの最後の …