본문 바로가기

보안/악성코드7

정적/동적 분석 정적 분석 upx로 패킹됨 인터넷 서비스 생성 이용: CreateServiceA 특정사이트 접속: http://www.malwareanalysisbook.com // InternetOpenUrlA, InternetOpenA MalService 문자열 동적 분석 악성코드는 패킹되었으나 일반실행 가능함 - 더블클릭 정적분석을 통해 행위예측 가능 (http://malwareanalysis.com, CreateService, InternetOpenUrl) Registry에 Malservice 등록 - Regshot, regedit 등록된 서비스는 시스템 리부팅 후에 매번 자동 실행됨 - 본 컴퓨터에서 vmware의 네트워크를 관찰하면 malwareanalysisbook.com 접속 확인 패킹, 일반실행 가능. .. 2023. 4. 21.
악성코드 동적 분석 regedit 검색 - 레지스트리 편집기 Regshot 시스템 분석 =============================================================== 네트워크 분석 - 네트워크에서 일어나는 일들에 대한 모니터링 대부분 시스템 분석 먼저 > 네트워크 분석 나중에 DNS 질의 보내기 와이어샤크는 본체 컴퓨터에 설치 - 가상머신까지 볼 수 있음 ================================================================= 악성코드 동적 분석 파라미터 찾기: WARNING_THIS_WILL_DESTROY_YOUR_MACHINE 필요 프로그램 열기: VM 스냅샷, 프로세스 모니터 등 프로세스 모니터 clear 해주기 cmd를 통해 프로그램 시.. 2023. 4. 17.
6주) 기초 정적 분석 보호되어 있는 글 입니다. 2023. 4. 14.
안티바이러스 스캐닝, MD5, 패킹/난독화 해제 VIRUSTOTAL: 악성코드 탐지, 프로그램 검증 https://www.virustotal.com/gui/home/upload WinMD5free 사용하기 checksum value를 비교해보자. 해시값 일치 여부를 통해 파일 변조 여부를 알 수 있다. - 무결성 확인 Strings 사용하기 cd + 경로 설정 Strings + 악성코드 파일 경로를 입력한다. 코드의 문자열을 출력해준다. PEiD를 다운받아 설치하고 패킹 upc –d을 통해 언패킹한다. 파일 크기 변화를 알 수 있다. 패킹 해제 후 PEiD를 실행하면 난독화가 해제된 것을 확인할 수 있다. 2023. 4. 8.
PE파일 분석, crackme PE(Portable Excutable) 파일 윈도우 운영체제에서 사용되는 실행 파일 형식 32bit exe, scr, sys, dll, ocx Process: EXE+DLL 실행 과정: 파일 실행 - 헤더 정보를 메모리에 매핑 - 실제 프로그램 코드로 분기 PE 헤더: DOS header ~ Section header Body: section NULL padding: PE 헤더의 끝부분과 각 섹션의 끝 → 컴퓨터에서 파일, 메모리, 네트워크 패킷 등을 처리할 때 효율을 높이기 위해 최소 기본 단위 개념을 사용 PE 헤더 DOS Header 구조체 크기 40 e_magic: DOS signature (4D5A => ASCII 값 "MZ") e_lfanew: NT header의 옵셋을 표시(파일에 따라 가.. 2023. 3. 30.
리버싱 기초 악성코드 분석의 목표 의심스러운 특정 바이너리가 한는 행위와 네트워크에서 탐지하는 방법, 피해 범위 측정 악성코드 감염을 탐지할 수 있는 네트워크/호스트 기반 시그니처 생성 악성코드 분석 기법 - 기초 정적 분석, 기초 동적 분석, 고급 정적 분석, 고급 동적 분석 리버싱: 시스템, 프로그램의 구조, 기능, 동작 등을 분석하고 그 원리를 이해하며 단점을 보완하고 새로운 아이디어를 추가하는 일련의 과정 리버싱 방법 - 정적 분석: 겉모습 분석, 종류, 헤더정보, 내부 문자열 등 - 동적 분석: 디버깅을 통해 코드 흐름과 메모리 상태 파악 Hello World 프로그램을 통해 실습하기 #include "windows.h" #include "tchar.h" int _tmain(int argc, TCHAR* a.. 2023. 3. 24.

티스토리툴바