Digital Forensics: Malware Forensics >IDA
จากเรื่อง Malware ForensicsStatic Analysis เราจำทดสอบโดยการเอาไฟล์มัลแวร์ มาเปิดใน IDA Pro เพื่อวิเคราะห์
IDA Pro เป็น Software ใช้สำหรับ De-compiler หรือ Disassembler ให้กลับไปเป็น Source Code หรือภาษา Assembly ความสามารถหลักของโปรแกรมคือ การท า Reverse Engineer, Cracking, Exploiting, Unpacking โดยในการทำ Reverse Engineer นั้นทำให้สามารถวิเคราะห์ตัวโปรแกรมได้ทั้งรูปแบบ Static Analysis และ Dynamic Analysis
IDA Pro นั้นครอบคลุมการทำ reversing ได้ดีกว่าโปรแกรมอื่นๆ โดยจะรองรับทั้ง 32/64 bit ทำได้ทั้ง disassembler และ debugger
ในโปรแกรมเดียว และ Support ครอบคลุมหลายแพลตฟอร์ม เช่น Android, Linux, Mac, Windows เป็นต้น
Processของไฟล์ Malware (EXE)โดย DLL คือไลบรารีที่มีรหัสและข้อมูลที่โปรแกรมอย่างน้อยหนึ่งโปรแกรมสามารถนำไปใช้ได้ในเวลาเดียวกันรายละเอียดของ
DLLต่างๆมีดังนี้
Kernel32.dll –เป็น DLLทั่วไปที่มีอยู่ใน Core Functionเช่น การเข้าถึงและการจัดการที่หน่วยความจำ,ไฟล์ต่างๆ,และอุปกรณ์ฮาร์ดแวร์
Advapi32.dll –เป็น DLLที่สามารถเข้าถึงวินโดว์ในส่วนของ AdvancedCore เช่น Service Manager และRegistry
ได้ User32.dll –เป็น DLLที่มีส่วนประกอบของ User-Interface ทั้งหมดเช่น ปุ่มต่างๆ แถบเลื่อนขึ้นลง (Scroll Bars) และยังรวมถึงส่วนที่ควบคุมและตอบสนองการท างานของ User
Gdi32.dll –เป็น DLLในส่วนของฟังก์ชันการแสดงผลและการปรับกราฟฟิค
Ntdll.dll -DLL นี้เป็นส่วนติดต่อกับเคอร์เนลของ Windows โดยทั่วไปการรัน Execute ไฟล์จะไม่มีการ Import มาที่ส่วนนี้โดยตรง แต่จะเป็นการ Import ทางอ้อมผ่าน
Kernel32.dll ดังนั้นหากไฟล์ exe มีการ Import มาที่ส่วนนี้หมายความว่าผู้สร้างไฟล์ตั้งใจใช้ฟังก์ชันที่ผิดไปจากปกติในการติดตั้งโปรแกรม เช่น ต้องการซ่อนฟังก์ชันหรือกระบวนการการทำงานบางอย่าง เป็นต้น
WSock32.dll and Ws2_32.dll –เป็น DLLที่เกี่ยวกับ Network โดยโปรแกรมที่เข้าถึงในส่วนนี้มักจะเกี่ยวกับการเชื่อมต่อทางด้าน Networkหรือทำงานเกี่ยวข้องกับส่วนนี้
Wininet.dll –เป็น DLL ที่มีฟังก์ชัน Network ระดับสูงที่ใช้โปรโตคอลเช่น FTP, HTTP และ NTP
https://www.hex-rays.com/products/ida
Practical Malware Analysis, March 2012, p.3,p17
Hacking & Security ฉบับ ก้าวสู่นักทดสอบและป้องกันการเจาะระบบ, September 2011
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#Malware Forensics #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud