読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Entropy: Detecting Similar File and Polymorphic Malware

メモリ・フォレンジック方面の話題になりますが、@cci_forensics の人が、エントロピーをメモリ内に存在しているマルウェア検出に使う方法を Blog にポストされています。

Entropy: Detecting Similar File and Polymorphic Malware
http://cci.cocolog-nifty.com/blog/2010/07/entropy-detecti.html#more

普通にハードディスク上に存在している EXE の場合には、そのままの状態でエントロピーを計算しても、パッカーの影響などを受けて近似値にならないけれど、メモリ上で展開されたものに対して実行するとうまく近似値が取れるかも!?ということでしょうか。スワップされている領域とかの影響を受ける気がするんですけど、まぁその辺りの詳しいお話はきっとメモリ・フォレンジックのトレーニング(http://www.ji2.co.jp/training/forensics/)で教えてくれるのでしょうと宣伝。
ま、記事が英語で書かれているのは、日本語で書いても日本では特に反応がないので、反応がある英語圏向けってことですかね(笑)

ちなみに EnScript の実行には EnCase が必要です ;-)