このデモを実際に動かしてみた時の記録。
1.1 まずは体験してみよう
・サンプルマルウェアをダウンロード
https://github.com/kenjiaiko/binarybook
・Stirlingのダウンロード
http://www.vector.co.jp/soft/dl/win95/util/se079072.html
・Process Monitor / Wireshark はPCにインストール済み
・サンプルマルウェアを起動してみる
Hello Malware! がポップアップ。
さらに、レジストリ書き換え、自分自身を消す、スタートアップフォルダとマイドキュメントにコピーを作成など、害はないが迷惑な行為をするマルウェアだ。
・Process Monitorは、SysinternalsSuiteから起動した。
Filterで Process Name is sample_malware を追加したら見やすくなった。
Filterかけないと、どえらいログになる。
Filterなしで眺めてみたら、パソコンって、こんなに頑張っているんだと実感できる。
・Stirlingでファイル比較
バイナリファイルの違いがないことを確認
#とりあえず、第一章はこのペースで記録するつもり。その後はKaliに戻るか。。