こんばんは、zuvです。
セキュキャンWSに行ってきたので、ブログにしたいと思います。
因みにWSってどういう意味か分かりますか？
WSでググったら「ヴァイスシュヴァルツ｜Weiβ Schwarz」やら「Work Station」やら出てきましたが、今回は「Work Shop」です。

講義の内容は
名称：The Anatomy of Malware 完全版
講師：中津留 勇

まず最初に感想としては、とても楽しかったですw
はい、楽しかった。それに尽きる、、というのは嘘でとても有益でした。
知識とhow toが絶妙なバランスな講義だったのでとても分かりやすかったです。
もうずっとマルウェア解析してられる、、

ブログ、、と言っても何を書けばいいんですかね。まぁ適当に書いていきます。
駄文だもんっ！

講義の流れ

・自己紹介
・事前学習の確認、IDAの機能紹介。
・マルウェアのトレンド
・解析の基礎知識
・解析前の準備の知識
・やってみる

解析について

今回感じたのはWindows api の重要さです。これを探してググれば大体分かってくるんじゃ、、と素人ながら感じました。
少し前から本を参考に解析の勉強をしていたんですが、全然イメージが変わりました。
簡単、、とは言わないですがなんだかいけそうな気がするぅって気がした気がしました。
あと関数をIDAで追っていくのがとにかく楽しい。

後、最後に話されていたScreen Capture を発見しました。アドレスは401410です。
見るからにそれっぽい感じが出ていますw
sixth senceに従って追っていたら偶々見つけました。
規模が大きいマルウェアだともっと難しくなるんだろうなぁ。。
暗号化の処理とか難しい事はたくさんある、、
また色々自分でやっていきをしたいです。
ブログが寂しいので写真を貼っておきます。win api はこんな感じで表示されていきます。

IDAメモ

IDCで特定の命令に色が付けれるよ 。
関数に自分で命名する時、aa_bot_main　みたいに「aa」とかつけるとsort後に見やすい。
範囲選択->edit->others->color instruction で選択範囲に色が付けれる。 ctrl + e => entry point
g => アドレスに飛ぶ
IDAの上のバーはコードとデータの場所を表している。

その他メモ

stdcall 先で掃除 cdecell 元で掃除　レジスタ渡し 意識しろ
分岐の多いのはbotっぽい。
色々ググろう。定数とか。
com interface は抽象度高くて厳しい。。

まぁ僕のこんな無ログをみるよりこのリンク先を見た方が有益です！
セキュリティ・キャンプ全国大会2015でのマルウエア分析講義(2015-09-10)
x86アセンブリ言語に関するメモ - kira924ageの雑記帳
https://www.secureworks.jp/resources/rp-bronze-butler
呼出規約とは - 備忘録
https://www.jpcert.or.jp/present/2014/20140424ssmjp.pdf