악성코드 기초 정적분석 도구● ExeinfoPE해당 파일의 패킹여부 등 여러가지 정보를 얻을 수 있다 IAT테이블을 확인해서 악성파일이 사용하는 라이브러리를 볼 수 있다 ● pestudio악성파일이 사용하는 라이브러리나 문자열을 확인할 수 있다 ( PEView & strings 를 합쳐놓은 효과 ) 악성파일이 import하고 있는 라이브러리들이다그룹별로 라이브러리들을 분류해서 가독성이 좋다 스레드 및 프로세스 관련CreateThread function Creates a thread to execute within the virtual address space of the calling process.GetCurrentProcess Retrieves a pseudo handle for ..

네트워크 패킷을 캡쳐하기 위해서 와이어샤크를 사용한다와이어샤크에서 더 편하게 패킷을 분석하기 위해서 컬럼들을 설정해줄 수 있다Edit - Preference - Columns일반적인 컬럼들을 대신해서 아래와 같이 변경해줄 수 있다 패킷번호와 캡쳐된 시간, 출발지 주소와 포트, 도착지 주소와 포트, 관련정보 컬럼을 설정했다

* 이전에 깔아놓은 가상머신은 무시해주세요 VirtualBox 에서 가상머신 설치하는 방법에 대해서 알아보도록 하겠습니다[1] 왼쪽상단에 파일 - 가상머신 불러오기 클릭 [2] 미리 설치해놓은 XP버전 가상머신파일을 가져옵니다https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/ 에서 다운 가능 [3] 다운로드 합니다 [4] 편의성을 위한 설정① Ctrl + Alt 커맨드를 통해서 가상머신에서 마우스커서를 꺼내올 수 있다 ②* VirtualBox 전역설정 VirtualBox전체 설정에서 NatNetwork를 설정한다VirtualBox내의 가상서버들끼리 네트워크 통신을 할 수 있다 * 가상서버 지역설정 각각의 가상서버의 환경설정에서 네트워크 - N..

1. DllMain의 주소는 무엇인가?DLL을 로드하였을 때 실행되어지는 것이 DllMain함수이다Ctrl+t => "DllMain"을 검색해서 찾을 수 있었다 2. Imports Window를 이용해 gethostbyname을 탐색해보자. 임포트 위치는 어디인가?Imports 윈도우에는 임포트되는 모든 함수 목록이 존재한다Ctrl+t => gethostbyname 검색해서 찾을 수 있다 임포트 되는 위치는 아래와 같다 3. gethostbyname을 호출은 몇번 이루어 지는가?gethostbyname함수의 xref를 검사해보면 알 수 있다call 명령어를 통해서 해당 함수의 호출이 9번 실행된다 4. 0x10001757에 위치한 gethostbyname호출을 보면 어떤 DNS요청이 이루어지는지 알 수 ..

IDA는 유료버전과 무료버전으로 나뉘고, 5.0Free버전으로 실습을 진행한다악성코드 고급정적분석 시 활용된다 먼저 실행화면부터 살펴보도록 하겠다[1] 분석할 파일 로드 ① PE, MS-DOS, Binary 파일들을 선택가능② 32bit or 64bit 선택가능③ Rebase시 메모리 로드 가상 주소 설정 가능 [2] 텍스트 모드와 그래프 모드 ( space bar : 모드 전환 )두가지 모드로 실행파일의 코드를 확인할 수 있다① 텍스트모드 ② 그래프모드 그래프 모드- 빨강 : 조건점프 거짓일 시- 초록 : 조건점프 참일 시- 파랑 : 무조건 점프시 [3] 추가 옵션코드별로 옆에 자동으로 주석이 달아져서 가독성이 좋다 [4] 다양한 윈도우Function, Names, Strings, Imports, Ex..

1. 기초 동적분석이란?· 프로그램을 직접 실행하며 분석· 악성코드 실행 전후 상태를 조사 및 분석하여 프로그램의 기능을 파악 2. 기초 동적분석 도구1> 프로세스 모니터 ( Process Monitor )특정 레지스트리, 파일 시스템, 네트워크, 프로세스, 스레드 행위들을 모니터링프로세스 모니터를 통해서 Lab03-01.exe 악성코드 실습파일이 행위들을 찾았다RegOpenKey & RegSetValue => 레지스트리의 값을 변경하였다 2> 프로세스 익스플로러 ( Process Explorer )프로세스 스레드, 권한, 네트워크, 메모리 등 다양한 정보 확인 가능프로세스 내부에서 호출하는 DLL내용 검색 가능시스템에서 실행 중인 프로세스들을 확인할 수 있다 해당 파일이 사용하는 문자열을 검색할 수도 ..