wivern ロゴ

サイバーセキュリティ研究所

サイバーセキュリティを中心に、軍事、防犯、サーバーの管理と監視、その他、最新技術を研究しています。


PEiD 日本語解説

パッカーの検出

PEiD

これまで、表層解析で使うツールを紹介してきましたが、最近のマルウェアは解析を困難にするためにパッカーで圧縮されていることが多く、解析を効果的に行うためにもパッカーによる圧縮の有無や圧縮に使われているパッカーを判別するツールが必須になっています。

そこで今回は、パッカーによる圧縮の有無や圧縮に使われているパッカーを判別するツールの代表のひとつとして、PEiD の英語で書かれた本家のサイトの説明文を(主に自分のために)日本語に訳して公開します。

※本家サイト(http://www.peid.info/)がハッキングされているようなので、TUT4YOU の紹介記事を紹介します。


LordPE
PE の識別 0.95

作者       Snaker, Qwerton, Jibz
作者ウェブサイト http://www.peid.info/
説明

PEiD はたいていの一般的なパッカー、暗号化ツール、コンパイラの PE ファイルを検出する。現在、470 を超える異なるシグネチャの PE ファイルを検出できる。

PEiD は既存の他の識別ソフトウェアに比べていくつかの特徴で優れている!

1. 最高の GUI を備え、インターフェースは実際に直感的でシンプルである。
2. 検出率は識別ソフトウェアの中でも最高である。
3. 変更された未知のファイルの「上級」検出のための特別スキャン・モード。
4. シェルの統合、コマンド・ラインのサポート、常時最前面、ドラッグ・アンド・ドロップ機能。
5. 複数のファイルとディレクトリの再帰スキャン。
6. タスクのビュワーとコントローラ。
7. Generic OEP Finder や Krypto ANALyzer のようなプラグインによるプラグイン・インターフェース。
8. よりよい検出に使われる特上のスキャン技術。
9. 発見的スキャン・オプション。
10. 新しい PE の詳細、インポート、エクスポート、TLS ビュワー。
11. 新しい組込みのクイック逆アセンブラ。
12. 新しい組込みの 16 進ビュワー。
13. ユーザによる更新が可能な外部シグネチャ・インターフェース。

PEiD には、3つの異なるユニークなスキャン・モードがある。

「ノーマル・モード」は、全ての文書化されたシグネチャのために、PE ファイルをエントリ・ポイントでスキャンする。
これは、全ての他の識別ソフトもやってることである。

「ディープ・モード」は、全ての文書化されたシグネチャのために、PE ファイルのセクションを含むエントリ・ポイントをスキャンする。
これは、変更された暗号化ファイルの約 80% の検出を確かにする。

「ハードコア・モード」は、全ての文書化されたシグネチャのために、PE ファイル全体の完全なスキャンを行う。
小さなシグネチャがしばしば多くのファイルでたくさん起きるようになって誤まった出力が生じる場合に、このモードを最後のオプションとして使うべきである。

スキャナに組み込まれたスキャン技術には誤り制御方式があって、これは通常最後のモードが選ばれたとしても正しい出力を確かにする。
最初の2つの方式は、ほぼ即座に出力を生み出すが、最後の方式は見れば分かるように少し遅い!

ファイル・サイズ  3.47 MB
日付        2008/10/26(Sun) 06:30:11
ダウンロード    https://tuts4you.com/request.php?398
レーティング    9.6 - 6 票


記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。


→「不正アクセス IP アドレスリスト」
←「不正アクセス IP アドレスリスト」


« 戻る