Introduction to REM

Question 1

Hvad står REM for?

Answer 1

Reverse Engineering Malware.

Question 2

Hvad bruges REM til?

Answer 2

Det bruges til at finde ud af hvordan malware fungerer og hvad det kan gøre ved vores system.

Question 3

Hvad er malware?

Answer 3

1. Det er Maliciuos Software.
2. Det er designet til at skade computersystemer, stjæle data og stoppe arbejdes driften.

Question 4

Nævn 3 malware typer.

Answer 4

1. Virusser.
2. Orme.
3. Trojan (keylogger, rootkit, zero-day exploit).

Question 5

Hvad er en virus?

Answer 5

Det er et program der spreder sig ved først at inficere filer/hardware også kopiere den sig selv.

Question 6

Hvad er en orm?

Answer 6

Det er et program der kopier sig selv og derefter steder den sig selv tværs over netværket.

Question 7

Hvad er Trojans?

Answer 7

1. Det er malware forklædt som rigtigt software.
2. Det skaber en bagdør til dit system.

Question 8

Hvad er en KeyLogger?

Answer 8

Det er malware, der registrerer tastetryk på en computer eller mobil enhed for at stjæle følsomme oplysninger som adgangskoder og kreditkortnumre.

Question 9

Hvordan virker en KeyLogger?

Answer 9

De tilføjer en lytter (listener) til al tastaturaktivitet, hvilket betyder, at de kan registrere alle tastetryk, der udføres på en computer eller mobil enhed.

Question 10

Hvad er en RootKit?

Answer 10

Det er ondsindet software, der skjuler sig og giver angribere kontrol over et system uden brugerens viden.

Question 11

Nævn de 3 malware deployments der er.

Answer 11

1. Downloader.
2. Dropper.
3. Launcher.

Question 12

Hvad er en downloader?

Answer 12

Det er et program der er ansvarlig for at downloade malware.

Question 13

Hvad er en dropper?

Answer 13

Det er et program der er ansvarlig for at genere malware shell-koden.

Question 14

Hvad er en launcher?

Answer 14

Det er et program der kører shell-koden med malwaren.

Question 15

Hvilke 5 malware analyse strategier er der?

Answer 15

1. Static code analysis
2. Dynamic analysis
3. Behavior analysis
4. Static analysis
5. Fully automated analysis

Question 16

Hvordan kan man få malware på sit system?

Answer 16

1. Social Engineering (links mm.)
2. Trojans, orme, virusser.

Question 17

Hvilke strategier bruger malware for at forhindrer os i at analysere den?

Answer 17

Den bruger eksempelvis:
1. Packing the malware.
2. Code obfuscation
3. Encryption.
4. Anti-debugging.
5. Anti-virtuel machine.

Question 18

Hvilket format bliver malware ofte sendt ud som?

Answer 18

Zip-fil.

Question 19

Hvorfor bruger man VM-miljøer til at analysere malware?

Answer 19

Det gør man, fordi det kontrollerer og isolerer den potentielle fare fra vores eget system og pc.

Question 20

Hvad er en zero day virus/malware?

Answer 20

Det er ikke blevet fundet endnu / døbt

Question 21

Hvad er en zero day exploit?

Answer 21

Det er en metode eller kode, der udnytter en nyligt opdaget sårbarhed eller svaghed i et computersystem, software eller protokol.

Question 22

Hvad er “Packing the malware”?

Answer 22

Det er komprimering eller kryptering af ondsindet software for at undgå at blive opdaget.

Question 23

Hvad er “Code obfusaction”?

Answer 23

Det er ændring af kildekode for at gøre den sværere at forstå og analysere, ved at f.eks. ændre variabel navne.

Question 24

Hvad er “Anti VM”?

Answer 24

Den tjekker om den er i et VM miljø og lukker ned hvis den er.

Question 25

Hvad er “Anti debug”?

Answer 25

Det er metoder til at forhindre eller forsinke fejlfinding og analyse af malware.

Question 26

Hvad er bitwise operationer?

Answer 26

Det er operationer som manipulerer et binært tal på dets individuelle bits.

Question 27

Forklar de 4 bitwise operationer.

Answer 27

AND = begge skal være ens (1-1)
XOR = skal være forskellig (0-1)
NOT = Skal ikke have input (0-0)
OR = Skal have input (0-1, 1-1)

= OR

Question 28

Hvad er static code analysis?

Answer 28

Det er analyse af malware uden at køre det for at identificere sårbarheder og forstå dets funktionalitet.

Question 29

Hvad er registers?

Answer 29

Det er små opbevarings lokationer i en computers CPU.

Question 30

Bliver data gemt i registers permanent?

Answer 30

Nej, kun midlertidigt da der er begrænset plads.

Question 31

Registers har specifikke størrelser målt i bits, som viser hvor meget maksimal plads der er til rådighed, hvilke størrelser er der?

Answer 31

1. 8bit
2. 16bit
3. 32bit
4. 64bit

Question 32

Nævn nogle 32-bit registers.

Answer 32

1. EAX.
2. EBX.
3. ECX.
4. EDX.
5. EBP.
6. ESP.
7. ESI.
8. EDI.

Question 33

Hvordan får man adgang til dele af et register?

Answer 33

Man bruger 8-bit, 16-bit eller 32-bit navne for at få adgang til dele af registre som EAX, EBX, ECX og EDX.

Question 34

Hvad hedder EAX register når den er opdelt i 16bit, 8bit High og 8bit Low?

Answer 34

1. 16bit: AX
2. 8bit High: AH
3. 8bit Low: AL

Question 35

Hvad er index og base register?

Answer 35

Index-registre:
De bruges til at indeksere elementer i en dataliste.

Base-registre:
De angiver
startadressen for en hukommelsesblok.

Begge registre hjælper med at optimere hukommelsesadgangen i computerarkitekturer.

Question 36

Hvad er “The stack”?

Answer 36

Det er en hukommelsesregion i RAM, brugt til håndtering af funktionskald, lokale variabler, adresser.

Question 37

Hvordan fungere “The stack”?

Answer 37

Den fungerer som en LIFO-struktur, altså last in first out.

Question 38

Hvad er “Mnemonics”?

Answer 38

Det er en forkortelse i starten af instruktionen, som gør det mere læsbart for andre samt nemmere at forstå.

Eksempel: mov eax, 3 –>
“mov” er en mnemonic.

Question 39

Nævn nogle “Mnemonics” i Assembly kode.

Answer 39

1.MOV.
2. ADD.
3. SUB.
4. MUL.
5. INC.
6. DEC.
7. DIV.
8. CMP.
9. JMP (Jcc)

Question 40

Hvad er “JMP” mnemonic’en?

Answer 40

Det er et unconditional jump, der bruges til at Hoppe til/kalde funktioner og lignende.

Question 41

Hvordan fungere “CMP” mnemonic’en?

Answer 41

Den udfører en subtraktion af de 2 operander, men gemmer ikke resultatet nogen steder
I stedet sætter den FLAGS.

Question 42

Hvad er “Operands”?

Answer 42

Det er data eller værdier, der er brugt som inputs/outputs i en instruktion

Eksempel: mov eax, 3 –>
”eax” og ”3” er operands.

Question 43

Nævn nogle conditional jumps.

Answer 43

1. JZ (Jump if zero).
2. JNZ (Jump if not zero).
3. JL (Jump if less).
4. JLE (Jump if less or equal).
5. JG (Jump if greater).
6. JC (Jump if carry).

Question 44

Hvad er et flags?

Answer 44

Det er et output for et CMP instruktion/funktion, hvor conditional JMP bruger outputtet (sandt/falsk) af flaget.