マルウェア作者は悪意あるコード部分で使用するAPIを動的にインポートすることで，静的解析のハードルを上げようと試みることがある．つまり実行の初期の段階でグローバルな変数にAPIのアドレスを保存しておき，A… See more

IDAPythonに関する日本語情報はかなり少なく，基本的に既存のスクリプトを参考にIDA内臓のインタープリターで適宜実行して出力を確認しながらスクリプトを作成していくことになる．またIDAPythonは7.4以降からAPI … See more

解析対象にする実行ファイルのコードを以下に示す． 暗号化部分の実装は疑似的なものでご容赦願いたい．これをVisual StudioでコンパイルしSolveAPIのデコンパイル結果をIDAで見ると次のようになる． dword_403… See more

まずは暗号化された文字列を復号するスクリプトを作成する．復号関数をPythonで書き直すと以下のようになるだろう． この関数に暗号化された文字列を渡せばよさそうだ．まずはアドレス(0x00402114)を決め打ちでやっ … See more

先の例では暗号化された文字列vOG1UWT2kXnPLCzCyXVXUのアドレスを決め打ちでスクリプトを作成した．次はこのアドレスの取得もスクリプトで自動化させる．そのために以下のようなコードを追加する… See more