Black Hat Japan 2007 Briefings and Training
東京新宿 京王プラザホテル • 10/23(火) - 24(水)

Reverse Engineering on Windows:
Windowsのマルウェア検出と分析、リバースエンジニアリング

Pedram Amini and Ero Carrera

持参するもの：
受講者は、Microsoft^® Windows^® 2000、XP あるいは 2003 をネイティブかバーチャルマシン内にインストールした自己所有のラップトップを持参すること。

受講者は、DataRescue社のIDA ProとOllyDbgを自分でインストールし、慣れておくこと。

受講者は、Windows バージョンの Python をインストールしておくこと。

IDA Proのデモコピーは、DataRescure社より入手できる。

OllyDbgはここから入手できる。

その他のツールは、クラスルームにおいて用意される。

受講生は、Microsoft Windows を快適に使うことができること。X86アセンブリと高級言語とOSコンセプトのベーシックを理解していることが望ましい。

概要：
リバース・エンジニアリングは、少数のエリートだけに伝統的に限定された「dark art」としての存在から、公開されたツールや市販ツールを使って学習可能な方法論へと発展した。脆弱性研究者は、この芸術的手法を用いて伝統的な Fuzzing化技術による到達可能な深さを越え、裏側に隠されたものを特定する。なぜなら、現在の悪意があるコードは進化しているため、既存のライブ分析のテクニックに頼っていたのでは、分析研究者がマルウェア内部の動作構造をマッピングすることできないからである。一般的にも、「外装の内側」をのぞき見る必要にぶつかっている研究者の数は増加する一方である。 このクラスは、悪意のあるコードの分析についての最先端の理解を参加者へ伝授し、究極的には参加者をリバース・エンジニアリング技能の進歩したレベルへ到達させ、その技能をセキュリティの他の領域へも応用できるようにするためにある。

本講座で学ぶこと：
このコースは、x86アセンブリとリバース・エンジニアリングの入門的知識と基本的な理解を持つ受講者を対象として設計されているが、さらに先に進んだ受講者にとっては技能の復習とよく知られた問題への新しいアプローチを学ぶことができるようになっている。 このコースでは、x86アセンブリの基本とパターンの認識、Windowsプロセスのメモリーレイアウト、IDA ProやOllyDbg のような実用的ツール、ワームがターゲットシステムに侵入する際に悪用するPEファイル形式とスタックやヒープのオーバーフロウなど基本的なエクスプロイットの方法論をカバーする。このコースは悪意があるコードの分析に焦点を当てるが、その際受講者にはリバース・エンジニアリングするために実際のウィルスサンプルが与えられる。また、実行ファイルのパッキング、obfuscation（不明瞭化）の方法、アンチ・デバッグとアンチ・逆アセンブルなどの詳細が解説され、学習の補強としてハンズオン実習で実際に使ってみる。

コースの終わりに向かうにしたがい、さらに先進的なリバース・エンジニアリング・テクニックが、悪意があるコードの分析用アプリケーションとともに教えられる。それらの内容は以下のようなものである:

• 自動化への様々なアプローチ
• マルウェアの分類
• バイナリー・マッチングと相違発見のアプリケーション

本講座の構成：
これは2日間のコースであり、それぞれの局面での「素早いレスポンス」の概念が重要視されている。タイムリーかつ効果的な方法で応用できるテクニックと方法論に焦点を合わせる。このコースではショートカットを学ぶように仕向けられ、マウスよりキーボードが多用されることになる。 このコースを完了すると、受講者は実世界で応用可能な知識を持ってクラスルームより送り出される。様々なリバース・エンジニアリング関連の仕事に直接適用できる知識ばかりだが、悪意があるコードの分析に関する知識は特に有用である。

講義の進め方：
このコースは、２日間講師によるレクチャーのみが続くという類のものではない。参加者は、クラスで教えられた内容すべてについて実力が強化されるよう、個人とグループとでの多数のハンズオン実習を実践することになる。いくつかの実習は競争的な方法がとられる。それらはクラスのディスカッションによりフォローされ、特にエレガントなアプローチ法や個人やグループで使われた様々なソリューションについては、ピックアップして論じられる。

受講対象者：
リバース・エンジニアリングの分野に興味を持っている者、未知のコードをより速く解剖する方法を学ぶ意志がある者、テクニックやアイデアや最先端技術について論じたい者、あるいは単に友人たちをプログラミングで感服させたいという者であっても、受講対象者の資格として充分である。

学習環境：
受講者には、クラスで直接用意される資料やスライドとハンズオン実習以外にも、インストラクターに対して１対１で質問を訊ねられる多くのチャンスがある。さらに受講者は、受講者間での知識伝授が促進されるように、経験値によりグループに分けられる可能性もある。

必須条件：
受講者は、マイクロソフトWindowsを快適な運用でき、x86アセンブリと高レベル・プログラミングとOS概念の基本的な理解を持っていることを期待される。

Pedram Amini 氏 は現在、3Com社の一部門であるTippingPoint社にて、セキュリティ研究と製品セキュリティ・アセスメントチームを率いている。TippingPoint社以前には、iDEFENSE Labs社の設立メンバーの１人でありアシスタント・ディレクターであった。派手な役職名にもかかわらず、Amini氏はリバース・エンジニアとして、IDA ProとOllyDbgのようなソフトウェアのために自動化ツールやプラグインやスクリプトを開発している。

この分野への情熱と関連して、リバース・エンジニアリングの芸術と科学に献身するコミュニティ・ウェブサイトであるOpenRCE.orgを立ち上げている。また以前には、 DefCon、RECon、ToorConなどでプレゼンテーションした経験があり、Black Hat USA 2005でのリバース・エンジニアリングコースを教えた際には売り切れ状態となった。Amini氏は、Tulane大学でコンピュータサイエンスの学位を取得している。

Ero Carrera 氏 は現在、BinDiffとBinNaviを育てたSABRE Security社において、リバース・エンジニアリング自動化の研究者である。Carrera氏は、以前はF-Secure社でウィルス研究者として数年を過ごした。そこでの主な任務はマルウェアのリバース・エンジニアリングから分析自動化の方法の研究まで及んだ。F-Secure社の前には、彼は多種類の研究と開発プロジェクトに関与していて、数学とリバース・エンジニアリングとコンピュータ・セキュリティのために常に情熱を注いでいた。

F-Secure社においてCarrera氏は、ゲノム的手法を2進法の構造的な分類に適用することについてGergely Erdelyi氏との共同論文を発表し、マルウェア分類の分野の進歩を推進した。氏の関与した他のプロジェクトには、一般的アンパッキングについての発生の研究がある。

さらにCarrera氏は、OpenRCEの常習的な参加者であり、pydot、pype、pyremlとidb2remlのような他方面のリバース・エンジニアリングツールについて寄与した。

コースの長さ：
全二日間。すべての資料、ランチ、2度のブレイク時のコーヒーが提供されます。 講義がすべて修了した方には、Black Hat 修了証が発行されます。 受講の際は、ご自身のラップトップPCをお持ちください。

備考： 2名様以上の一括登録、インターネット協会会員、支援協会会員の場合は、詳細をお問い合わせ下さい。