Als onderdeel van een CTF-uitdaging die ik organiseer, hadden we vorig jaar een aantal reverse-engineering-uitdagingen. Ik heb wat advies geplaatst over het uitvoeren van de analyse (geverifieerd door mensen die dit dagelijks doen). De blogpost is hier. De links verwijzen naar tutorials voor IDA en OllyDbg, twee van de meest populaire tools voor dergelijke analyse, en er is een mooi artikel van een van de AV-leveranciers. Uit het hoofd waren de tutorials stap voor stap.

Er zijn ook enkele rootkit-analysevideo's op http://www.securitytube.net/.

Ten eerste is een op php / cgi gebaseerd programma misschien geen rootkit - rootkits worden meestal geassocieerd met malware die zich in een kernel verbergt, niet alleen in malware.

Als je zeker weet dat het een rootkit, je hebt twee keuzes:

• Offline analyse - gezien een afbeelding van het uitgeschakelde systeem, kun je analyseren welke bestanden het is gewijzigd. Op dezelfde manier kun je de binaire bestanden op dezelfde manier analyseren als andere malware.
• Online analyse - dit is wat rootkits op zichzelf proberen te voorkomen, of op de malware die ze verbergen; u kunt echter vaak een analyse uitvoeren.

In tegenstelling tot normale malware is binaire instrumentatie of debuggen van rootkits veel moeilijker omdat ze op hetzelfde beveiligingsniveau draaien als de rest van de kernel en u moeten een debugger aan de kernel koppelen. Je zou ervoor kunnen kiezen om bijvoorbeeld KGDB te gebruiken.

Offline analyse lijkt veel op reverse engineering van andere malware, maar met het feit dat de codes relatief zijn ten opzichte van de kernel, enz. De zaken kunnen veel complexer zijn. Hiervoor is IDA al genoemd. Dit is een standaard industrietool voor zulke dingen.

Dus het proces verschilt eigenlijk niet zo veel van normale malware.