본문 바로가기

악성코드분석

 (5)
악성코드 분석 도구 [초기 분석] 1. Exeinfo PE (PEiD) A.S.L이 만든 소프트웨어로 PE 파일을 분석하는 도구 해당 프로그램이 어느 언어로 컴파일 되었는지, 패킹, 크립팅, 프로텍팅 여부, 어느 툴에 의해 패킹되었는지 알 수 있음 2. PEView PE 구조를 확인할 수 있는 도구 트리구조로 되어있어 한눈에 보기 편함 3. OllyDbg 바이러니 코드 분석을 위한 x86 디버거로서, 소스코드가 없을 때 유용하게 사용됨. [정적 분석] 1. HxD 파일이나 이미지의 특정 섹터를 확인하거나 수정할 때 사용 2. BinText 악성코드 파일에 포함된 String들을 모아 Text로 보여주는 기능을 함. 3. IDA 기계어의 코드로부터 컴파일러 특유의 Library 함수를 산출해낼 수 있음 각종 플러그인 지원 거..
악성코드분석(1) - 동적 분석 앞의 악성코드 분석(1) - 초기 분석과 같은 실습환경에서 분석 https://neospace.tistory.com/9 악성코드분석(1) - 초기분석 실습 환경 실습 프로그램 Vmware Workstation 16 분석 프로그램 Ubuntu 20.04 , cuckoo sandbox Windows 버전 Windows 7 (32bit) 악성코드 fb55f300cbcea6d62e33eb76a196849d1a67ce91.. neospace.tistory.com Cucukoo Sandbox를 이용한 동적 분석 악성코드가 실행되면서 생성 또는 다운로드 된 파일 1 Cuckoo Sandbox의 [Dropped Files] 탭에서 대상 프로그램이 실행되면서 생성 또는 다운로드 된 파일의 정보를 확인 가능 (파일 크기,..
악성코드분석(1) - 정적 분석 앞의 악성코드 분석(1) - 초기 분석과 같은 실습환경에서 분석 https://neospace.tistory.com/9 악성코드분석(1) - 초기분석 실습 환경 실습 프로그램 Vmware Workstation 16 분석 프로그램 Ubuntu 20.04 , cuckoo sandbox Windows 버전 Windows 7 (32bit) 악성코드 fb55f300cbcea6d62e33eb76a196849d1a67ce91.. neospace.tistory.com Cuckoo Sandbox와 Stub_PE 도구를 이용한 정적 분석 [알게 된 내용] Cuckoo Sandbox에서 Static Analysis의 Section부분 결과를 확인 가능 정적 분석 도구인 Stub_PE를 통해 알맞게 분석되었는지 확인, 결과가..
악성코드분석(1) - 초기분석 실습 환경 실습 프로그램 Vmware Workstation 16 분석 프로그램 Ubuntu 20.04 , cuckoo sandbox Windows 버전 Windows 7 (32bit) 악성코드 fb55f300cbcea6d62e33eb76a196849d1a67ce91c46255d2180fcd6a2cdc43f9 악성코드 유무 O 파일 크기 984.5KB 파일 타입 Exe MD5 f29892ad06b79676decbacde55c4ce76474 악성코드 출처 : https://bazaar.abuse.ch/ MalwareBazaar | Malware sample exchange MalwareBazaar MalwareBazaar is a project from abuse.ch with the goal of shar..
PEview 도구를 이용한 PE Header 분석 실습 환경 실습 프로그램 Vmware Workstation 16 분석 프로그램 Ubuntu 20.04 , cuckoo sandbox Windows 버전 Windows 10 (64bit) 악성코드 multicodecup.exe 악성코드 유무 O 파일 크기 2.04 MB 파일 타입 Win32 EXE (PE32) PE 섹션 테이블과 섹션 조사 종류 용도 .text 실행코드 .data 초기환된 전역변수, static 변수 .rdata Const 변수, 문자열 상수 .bss 전역변수, static 변수, 문자열, 기타 상수 .edata EAT와 관련된 정보 .idata IAT와 관련된 정보 .rsrc 리소스 정보 PE 섹션 테이블과 섹션 조사 Name -섹션 이름 -2E 74 65 78 → text 섹션임을 의미..

티스토리툴바