2018. 4. 25. 21:26ㆍ악성코드 분석
IDA는 유료버전과 무료버전으로 나뉘고, 5.0Free버전으로 실습을 진행한다
악성코드 고급정적분석 시 활용된다
먼저 실행화면부터 살펴보도록 하겠다
[1] 분석할 파일 로드
① PE, MS-DOS, Binary 파일들을 선택가능
② 32bit or 64bit 선택가능
③ Rebase시 메모리 로드 가상 주소 설정 가능
[2] 텍스트 모드와 그래프 모드 ( space bar : 모드 전환 )
두가지 모드로 실행파일의 코드를 확인할 수 있다
① 텍스트모드
② 그래프모드
그래프 모드
- 빨강 : 조건점프 거짓일 시
- 초록 : 조건점프 참일 시
- 파랑 : 무조건 점프시
[3] 추가 옵션
코드별로 옆에 자동으로 주석이 달아져서 가독성이 좋다
[4] 다양한 윈도우
Function, Names, Strings, Imports, Exports, Structures Window 등 다양한 윈도우가 제공되어 분석에 유용하게 사용된다
[5] 링크
* call sub_01003695
sub_address : 함수의 시작 링크
* jnz short loc_010016BC
loc_address : 목적지(location)로 점프하는 링크
* push offset_aSocketGetlaste
offset_address : 메모리 내의 오프셋 링크
[6] 상호참조 ( Cross Reference )
① XREF로 표기한다
② 함수를 호출한 위치나 사용한 문자열 위치를 알려준다
③ 함수가 호출된 파라미터로 이동할 수 있다
XREF 우클릭 - Jump to cross reference -> 사용되어지는 주소 확인 -> 해당 주소로 이동 가능
[7] 지역변수와 파라미터 구분
* var_value : 지역변수 ( 음수 )
* 파라미터 ( 양수 )
'악성코드 분석' 카테고리의 다른 글
VirtualBox 가상머신 설치와 공유폴더 및 네트워크 설정 (0) | 2018.04.30 |
---|---|
IDA 실습예제 (0) | 2018.04.26 |
악성코드 기초 동적분석 ( Registry Modify ) (0) | 2018.04.23 |
악성코드 기초 정적분석 ( Dropper ) (0) | 2018.04.21 |
악성코드 기초 정적분석 ( File packed FSG ) (0) | 2018.04.20 |