Sunday, September 24, 2017

Digital Forensics: Malware Forensics > IDA

Digital Forensics: Malware Forensics >IDA

จากเรื่อง Malware Forensics
      Static Analysis  เราจำทดสอบโดยการเอาไฟล์มัลแวร์ มาเปิดใน IDA Pro เพื่อวิเคราะห์

IDA  Pro เป็น Software ใช้สำหรับ De-compiler หรือ Disassembler ให้กลับไปเป็น Source Code หรือภาษา Assembly ความสามารถหลักของโปรแกรมคือ การท า Reverse  Engineer,  Cracking, Exploiting,  Unpacking โดยในการทำ Reverse  Engineer นั้นทำให้สามารถวิเคราะห์ตัวโปรแกรมได้ทั้งรูปแบบ Static Analysis และ Dynamic Analysis
IDA Pro นั้นครอบคลุมการทำ reversing ได้ดีกว่าโปรแกรมอื่นๆ โดยจะรองรับทั้ง 32/64 bit ทำได้ทั้ง disassembler และ debugger
ในโปรแกรมเดียว และ Support ครอบคลุมหลายแพลตฟอร์ม เช่น Android, Linux, Mac, Windows เป็นต้น



หนึ่งสิ่งสำคัญที่ IDA  Pro สามารถบอกได้คือมี DLLอะไรบ้างที่จะถูก Import เข้าไปที่เครื่องคอมพิวเตอร์หลังจากที่มีการรัน
Processของไฟล์ Malware (EXE)โดย DLL คือไลบรารีที่มีรหัสและข้อมูลที่โปรแกรมอย่างน้อยหนึ่งโปรแกรมสามารถนำไปใช้ได้ในเวลาเดียวกันรายละเอียดของ
DLLต่างๆมีดังนี้

Kernel32.dll –เป็น DLLทั่วไปที่มีอยู่ใน Core   Functionเช่น การเข้าถึงและการจัดการที่หน่วยความจำ,ไฟล์ต่างๆ,และอุปกรณ์ฮาร์ดแวร์

Advapi32.dll –เป็น DLLที่สามารถเข้าถึงวินโดว์ในส่วนของ AdvancedCore เช่น Service Manager และRegistry

ได้ User32.dll –เป็น DLLที่มีส่วนประกอบของ User-Interface ทั้งหมดเช่น ปุ่มต่างๆ แถบเลื่อนขึ้นลง (Scroll Bars) และยังรวมถึงส่วนที่ควบคุมและตอบสนองการท างานของ User

Gdi32.dll –เป็น DLLในส่วนของฟังก์ชันการแสดงผลและการปรับกราฟฟิค

Ntdll.dll -DLL นี้เป็นส่วนติดต่อกับเคอร์เนลของ Windows โดยทั่วไปการรัน Execute ไฟล์จะไม่มีการ Import มาที่ส่วนนี้โดยตรง แต่จะเป็นการ Import ทางอ้อมผ่าน

Kernel32.dll ดังนั้นหากไฟล์ exe มีการ Import มาที่ส่วนนี้หมายความว่าผู้สร้างไฟล์ตั้งใจใช้ฟังก์ชันที่ผิดไปจากปกติในการติดตั้งโปรแกรม เช่น ต้องการซ่อนฟังก์ชันหรือกระบวนการการทำงานบางอย่าง เป็นต้น

WSock32.dll and Ws2_32.dll –เป็น DLLที่เกี่ยวกับ Network โดยโปรแกรมที่เข้าถึงในส่วนนี้มักจะเกี่ยวกับการเชื่อมต่อทางด้าน Networkหรือทำงานเกี่ยวข้องกับส่วนนี้

Wininet.dll –เป็น DLL ที่มีฟังก์ชัน Network ระดับสูงที่ใช้โปรโตคอลเช่น FTP, HTTP และ NTP


https://www.hex-rays.com/products/ida
Practical Malware Analysis, March 2012, p.3,p17
Hacking & Security ฉบับ ก้าวสู่นักทดสอบและป้องกันการเจาะระบบ, September 2011

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#Malware Forensics #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....