a--- title: 資通安全實務 W5 tags: 第一組 動態分析 電腦環境要正確，模擬出受害者電腦 Tools Autoruns通常惡意軟體會想辦法在開機後自我啟動 可以利用 compare 功能去比較有新增那些自我啟動的程式

Links 了解函數、數據相互之間關係。 Cross-Reference 回推關聯的東做 可以用 x or ctrl + x 來查有那些地方有 call 入口點不一定是 main() IDA pro 通常從 PE 標頭開始讀 可以用 F5 讓 IDA pro 幫你試著還原成 C

資安實務 W1 W2 W3 W4 W5

資通訊安全實務 W2 BIFROSE 實作 1 設定環境 設定兩台 VM 在同一個網段上，且設定 IP，用 config 確定各自的 IP，用 ping 確認是否連通 Builder

資通訊安全實務 W4 上禮拜的作業 作業1 MD5：先上傳程式的 MD5 初步檢查是否為惡意軟體沒事不要上傳檔案，樣本很珍貴 location 的 section.rdata 會存字串 作業2 自己 create 一個新的 server.exe 在 VirusTotal 中上傳 MD5 可能也會被檢測出來，因為這程式被分析到爛了 看是否有開檔讀檔，看 import table 但駭客也知道會看 import table 所以駭客也會把資料藏起來 (加殼)

part 1 一分鐘 誤觸 背景 動機 Part 2 兩分鐘

資通訊安全實務 W3 Tools CFF explorer PE-bear.exe Pestudio PE中更重要的東西 IT(Import Table)紀錄 .dll (Dynamic-link library) IT 紀錄這個程式使用的 Library，可以透過分析這個 DLL 表，知道惡意程式大概在做甚麼? eg. fget,fopen

資通訊安全實務 W1 大綱 逆向分析逆向分析能做甚麼 APT 駭侵流程 惡意程式簡介 靜態分析

graph TB; start([開始])---->main main["main(int argc, char* argv[])"]-->ProcMon; readlog-->檢查異常行為; 檢查異常行為 -- 有問題 --> stopprocess[終止 process]; stopprocess-->deletelog[刪除舊的 log]; 檢查異常行為 -- 正常 --> deletelog[刪除舊的 log]; deletelog-->main

目錄檔案監控 引用的函式庫 #include <windows.h> #include <iostream> #include <string> #include <vector> windows.hReadDirectoryChangesW() 監控目錄 CreateFileW()、CloseHandle() 與作業系統相關 iostream 用來輸出 log 的

20240804_WannaCry 分析 Wanna Cry 分析 Wanna Cry 的行為大致可分為三階段： 提權 文件枚舉 加密檔案 解密酬載 Decrypt Payload 密碼：WNcry@2ol7

20240821_第七次專題報告 會議資訊 日期：2024/08/21 時間：10:15~11:00 地點：Teams 出席人員： 徐老師 羅崧瑋

題目 惡意軟體執行過程中的偵測與中斷。嘗試建置類似 Snort 的偵測系統。可以透過設置規則（rule）的方式，來監測 process。由於惡意軟體的行為多變且複雜度高，使用類似 Snort 的簽名式規則難以偵測惡意軟體的行為。所以 rules 則是可以使用紀錄狀態的 Finite State Machine(FSM)的架構來撰寫規則。 會需要考量的問題： 儲存效率：使用 FSM 紀錄狀態會需要記憶體空間，設計一個良好的資料結構，可以大幅節省記憶體。 執行效率：與惡意軟體賽跑，時間分秒必爭。如何設計一個有效率的演算法/FSM 阻擋惡意軟體攻擊，也會是研究目標之一。 如何判斷當前的 process 需不需要被 FSM 持續的紀錄狀態？ 規則比對：嚴格的比對方式還是疏鬆的比對方式可以更好的偵測惡意軟體呢？減少 false positive

20240814_第六次專題報告 會議資訊 日期：2024/08/14 時間：10:30~11:00 地點：Teams 出席人員： 徐老師 羅崧瑋

20240807_第五次專題報告 會議資訊 日期：2024/08/07 時間：09:30~11:00 地點：Teams 出席人員： 徐老師 羅崧瑋

20240703_第二次專題報告 會議資訊 日期：2024/07/10 時間：10:00~11:30 地點：Teams 出席人員： 徐老師 羅崧瑋

20240703_第一次專題報告 會議資訊 日期：2024/07/03 時間：11:00~12:30 地點：Teams 出席人員： 徐老師 羅崧瑋 陳威翰

20240725_第四次專題報告 會議資訊 日期：2024/07/25 時間：10:00~11:30 地點：Teams 出席人員： 徐老師 羅崧瑋

20240717_第三次專題報告 會議資訊 日期：2024/07/17 時間：10:00~11:30 地點：Teams 出席人員： 徐老師 羅崧瑋

Problem Definition 在許多研究中，檢測惡意軟體的問題已被展示為 NP-Cpmplete。[^A_comprehensive_review_on_malware_detection_approaches] A. Difficulty of Problem in Theory 早期的惡意軟體的檢測使用病毒的檢測方式。根據早期的研究，這種檢測方式是不可能且 NP-complete。會造成這樣的原因，是因為檢測病毒的程式有矛盾。假設有一個檢測者 $D$ 會去判斷程式 $P$ 是否為病毒。若 $P$ 是病毒，$D$ 會把它標記起來，讓他無法去與其他程式互動，就像非病毒的一般程式一樣。但若 $D$ 沒有將 $P$ 標記起來（由於 $P$ 表現得像非病毒），$P$ 就會去感染其他程式。[^Computer_viruses:_theory_and_experiments] According to M. Chess and R. White, there is no program that detects all viruses without false positives (FPs) because viruses are polymorphic and can be exist in different forms[^An_undetectable_computer_virus]. According to M. Adleman detecting a virus is quite intractable and almost impossible.[^An_abstract_theory_of_computer_viruses] This is because according to Gödel numberings of the partial recursive functions, it is not possible to create detecting mechanism. Zuo et al. claim that there exist computer viruses whose detecting procedures have sufficiently large time complexity, and there are undecidable viruses which have no minimal detecting procedure.[^On_the_time_complexity_of_computer_viruses]