#HITCON GIRLS MalwareAnalysis #講師：珣珣 ＆ Turkey #HITCON CTF Conference

1. ⼈人 友 增⼀一
⼈人 友 &Turkey

2. Outline
• HITCON GIRLS 想
• ⼈人
• ⼒力 種了於
•
• ⼈人 友 ⼼心
• 這到 友 增⼀一
•

3. HITCON GIRLS 想
• HITCON GIRLS
• 想 對
•
• 起 於 啊
⼈人 友 給 Malware
到 ⼼心於會 起

4. HITCON GIRLS 想
Web PT
Android PT
來要

5. ⼈人
CTF
⼈人 Flag Key
於會機之 ⼈人
於 Flag
Code ⼼心
⾏行時 CTF
就 不 Write Up

6. ⼈人

7. ⼈人(Malware)
• 很
• 意不 個 ⼈人
• 明 想 於開 可於 才
•
• 於事 三⼩小於 過 都
• 上 覺 可想⽤用
• 被你後 明 想

8.
⼈人

9. Grayware
• Grayware ⼼心 每 ⼈人
• 出⼈人
•
• 動
• 裡 間 間 ⼿手

10.
增⼀一

11. 看 於 種了
• 看
• &
• 到 友&這到 友
•
• 會
• 點
• Registry Key
• 做
• Process
• API
• 有為

12. ⼈人 友
• 友
• 學 ⼈人 樣⾃自
• Snapshot
• 地以 友
• 下

16. • 間 全我 ⼈人 ⼼心 知
給 於 於過 於⾼高⼩小
• 可 給 麼

17. • 快 能 ⼼心
• Registry Key - AutoRuns
• Process - Process Explorer / Process Monitor
• Network - TCPView / TCPLogView / WireShark
• File system - AutoRuns / Process Explorer

18. • 快 能 ⼼心
• Registry Key - AutoRuns
• Process - Process Explorer / Process Monitor
• Network - TCPView / TCPLogView / WireShark
• File system - AutoRuns / Process Explorer

19. - Registry
• Registry 著 ⽽而更
• 可 ⼈人 都 想
• C:Windowsregedit.exe

20. - 做
• ⼈人 做 ⼈人 想
他不 做
• Registry 是 做
• HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

21. - Registry Key
• ⼈人 可都 可
Registry Key 新
• ⼈人在 發做
Registry 下 做 做

22. • 快 能 ⼼心
• Registry Key - AutoRuns
• Process - Process Explorer / Process Monitor
• Network - TCPView / TCPLogView / WireShark
• File system - AutoRuns / Process Explorer

23. - Process
• ⼈人 → 家 → 成
• 成 (process) ⼈人

24. - Process
• ⼈人 ⼈人
• 吃 想
• 多 ⼈人

25. 然
說

26. -
• 過 做 HKLM…CurrentVersionRun
• Process Injection
• 可想
• IP DNS
• ⾼高⼩小

27. ⼈人 友 ⼼心
• Behavior Tool
• Autoruns
• Process Monitor /
Process Explorer
• TCPView /
TCPLogView /
WireShark
• Online Sandbox
• Virustotal
• Comodo
• Sandbox
• CaptureBat
• Cuckoo

28. 友 ⼼心 - AutoRuns
• ⼥女要 Registry Key 真 於過

29. 友 ⼼心 - ProcessExplorer
• ⼥女之 家 成能
• 的
• ⼤大 到 ⼈人 (DLL) 於

30. 友 ⼼心 - TCPView
• 於 天 ⼈人⾃自

31. 友 ⼼心 - SandBox 裡
• 說
⼈人 什 感
• ⽤用 於⼼心開
⼈人 ⼈人 什 們

32. Sandbox

33. 友 ⼼心 - VirusTotal

34. 友 ⼼心 - CaptureBAT

35. • 間 間 ⼼心
•

36. 想
Digital Forensics
• 如 ⼥女要
Malware Detection
• 只⼜又 三 ⼥女們
Reversing Engineering
• 於 次 會 讓 第
AllenOwn 什

37. 想
Digital Forensics
• 如 ⼥女要
Malware Detection
• 只⼜又 三 ⼥女們
Reversing Engineering
• 於 次 會 讓 第

38. 想
Digital Forensics
• 如 ⼥女要
Malware Detection
• 只⼜又 三 ⼥女們
Reversing Engineering
• 於 次 會 讓 第

39. 想
Digital Forensics
• 如 ⼥女要
Malware Detection
• 只⼜又 三 ⼥女們
Reversing Engineering
• 於 次 會 讓 第

40. • 間 Reversing Engineering
• 於 次
• ⼈人 ⼼心
• 明 想 →
• 主 →

41. 好
• 間 Reversing Engineering
• 於 次
• ⼈人 ⾃自 發
• 明 想 →
• 主 →

42. 好
• 間 Reversing Engineering
• 於 次
• ⼈人 ⾃自 發
• 明 想 →
• 主 →

43.
(打Д´)ﾉ

44. • Reverse Engineering
• 全著 麼 友 於 次
• 會
•
• 中 有為

45. - 這到 到

46. 到 友 - ⼼心
• Immunity Debugger ( ´∀`)ﾉ
• Olly Dbg ( )ﾉ

47. 這到 友 - ⼼心
• IDA ( ´∀`)ﾉ
• IDA Pro Interactive Disassembler 會
⼩小
• 這到 友

48. 這到 友 增⼀一
• 經
•
• API
• ⼈人

49. 這到 友 增⼀一(1)
• 經
• 經 經於 ⽅方經
• ⼈人 友
•
• 是 經
• 無經 ⼼心 / 無經

50. UPX 經 知
?

51. 這到 友 增⼀一(2)
•
• ⼈人
•
• String Windows
• 了信 ⼈人

52. 了信 知

53. 這到 友 增⼀一(3)
• API
• IDA Windows API
• API
•
• 要

54. API
• API (Application Programming Interface)
• ⼈人 裡
• Function
• 分

55. Windows API 知

56. 這到 友 增⼀一(4)
• ⼈人
•
•
•

57. 這到 友 增⼀一(4)
• ⼈人
•
• ⼈人意不
• 還 電
• 有為

58. 有為
⽣生

59. 有為
age = input(‘How old are you?’)
if (age <18):
print ‘No you can’t drink beer.’
mov edx, OFFSET HowOldAreYou;
call WriteString;
call readint;
cmp eax,18d;
jb LessThan18;
LessThan18:
mov edx,OFFSET NoYouCantDrinkBeer;
call WriteString;
Python Assembly Language
於 不

60. 有為
• 得 有為
• 01010000
• 有為
• 有為 覺 家
• 和 MASM於NASM

61. 有為
• ⼈人
• .EXE (executable file) 現
•
• ⼼心會 有為

62. 有為

63. XD

64.
快

65. Turkey
知 友

68. SHA256:
77c39cf091b0cb9f84a5d2a25e9c63f0
bf9dcacb054a4f902fe36de6491aad14
~
~

69. 1.ProcessExplorer
2.ProcessMonitor
3.TCPview
4.Wireshark
5.CaptureBAT (

70. ProcessExplorer & ProcessMonitor
• ProcessExplorer Process
!
• Process
Process ProcessMonitor
Process

71. ProcessExplorer
c
s v p @B

72. ProcessExplorer
p
v d V R@ P BTB
( R@ P BTB 75h # bki
PID

73. ProcessMonitor
u @B 8 FP c 75 0 V @B h
6F PB 75 F P B 7 @ AB
c

74. ProcessMonitor
p
v d V R@ P BTB
( R@ P BTB 75h # bki
) 1( A P v 1( A P
S @ R@ BTB v S @ R@ BTB
BI l ACA ) BD
ACA ) BD v ACA ) BD

75. TCPView
Process

76. TCPView
p
v d V R@ P BTB
( R@ P BTB 75h # bki
) 1( A P v 1( A P
S @ R@ BTB v S @ R@ BTB
BI l ACA ) BD
ACA ) BD v ACA ) BD
q ( () )(
4 =FBS x c

77. Wireshark
•
• dns,tcp,http,......
m V h

78. Wireshark
6F PB P@
kr ( () )( # u 4 =FBS r
w 6 S 4 P B I

79. Wireshark
k o 3 A :BM B P

80. 6F PB A
kr F PSB I S BP
#F PSB I S BP pV 7 ( () )(
Wireshark

81. p
v d V R@ P BTB
( R@ P BTB 75h # bki
) 1( A P v 1( A P
S @ R@ BTB v S @ R@ BTB
BI l ACA ) BD
ACA ) BD v ACA ) BD
q 7 ( () )(
. A F PSB I S BP pV 7 h( () )(
Wireshark

82. p
v d V R@ P BTB
( R@ P BTB 75h # bki
) 1( A P v 1( A P
S @ R@ BTB v S @ R@ BTB
BI l ACA ) BD
ACA ) BD v ACA ) BD
q 7 ( () )(
. A F PSB I S BP pV 7 h( () )(
4$@2.dat ~dfds3.reg

83. CaptureBAT
• SandBox
• ex:
#

84. .

85. • CaptureBAT
CaptureBAT
cd C:Program FilesCapture
CaptureBAT.exe -c -n
* http://travisaltman.com/malware-analysis-tool-capture-bat/

86. CaptureBAT
4 P B32 a l D m V h
deleted V

87. CaptureBAT
~dfds3.reg
p
v d V R@ P BTB
( R@ P BTB 75h # bki
) 1( A P v 1( A P
S @ R@ BTB v S @ R@ BTB
BI l ACA ) BD
ACA ) BDv ACA ) BD
ACA ) BD h e t~
8 7 B RB BTB
q 7 ( () )(
. A F PSB I S BP pV 7 h( () )(

88. CaptureBAT
t~a V MSIServer.exe
h n V”n ”

89. CaptureBAT
wscsvc.exe
p
v d V R@ P BTB
( R@ P BTB 75h # bki
) 1( A P v 1( A P
1( A P h V S @ R@ BTB
S @ R@ BTB v S @ R@ BTB
BI l ACA ) BD
ACA ) BDv ACA ) BD
ACA ) BD h e t~
8 7 B RB BTB
q 7 ( () )(
. A F PSB I S BP pV 7 h( () )(

90. CaptureBAT
4 P B32 a l D m V h
deleted V
t~f Vn V

91. g
F PSB I S BP
#7 ( () )($
t~
n
n

92. p
v d V R@ P BTB
( R@ P BTB 75h # bki
) 1( A P v 1( A P
1( A P h V S @ R@ BTB
S @ R@ BTB v S @ R@ BTB
BI l ACA ) BD
ACA ) BDv ACA ) BD
ACA ) BD h e t~
8 7 B RB BTB
q 7 ( () )(
. A F PSB I S BP pV 7 h( () )(