시스템 내에서 일어나는 여러 행위들을 기록하는 툴 Sysmon

Sysmon.zip


설명은 아래 사이트 참고
http://forensic-proof.com/archives/6398

http://blog.plura.io/?p=5500

  1. 2017.08.30 11:21

    비밀댓글입니다

운영보안할 때 도와주는 툴 PCHunter, SystemExplorer


PCHunter

http://www.xuetr.com/?p=191

검색하면 중국사이트가 나오는데 중국사이트가 나오는게 맞다.

PCHunter_free.zip

운영보안에서 악성코드를 분석해야할 때, 알아야할게 많을 때

커널레벨의 모든 정보를 알려준다.

Ring0에 Keyboard를 보면 Keyboard 후킹하는 것을 볼 수 있다.

현재 Win10이 되지 않는걸로 알고있음.



SystemExplorer

회사에서는 설치 못하는 프로그램인데, 운영 보안할 때 좋다고 함

http://systemexplorer.net/ko

SystemExplorerSetup.exe


실행한 결과창

다양한 결과를 알려준다. 



파일 시스템 활동을 모니터해주는 툴 Process Monitor


ProcessMonitor.zip


Filter에 Enable Advanced Output옵션을 사용할 수 있다.

Process Montior로 무엇을 할 수 있으면 Snapshot기능을 사용할 수 있다.
악성코드 동작시키기전에 advanced output 모드를 켜두고 필터를 걸어둔다. 그리고 행위 분석을 한다.
Crtl+x로 취소하면된다.

윈도우가 시작될 때 올라오는 프로그램을 정리해주는 툴 Autoruns

Autoruns.zip



네트워크 상태(TCP등) 흐름을 보여주는 툴 TCPView

TCPView.zip



자세한 설명은 아래 사이트 참고 
http://devotionnoath.tistory.com/253



윈도우 프로세스 관리 도구 Process Explorer 

ProcessExplorer.zip

자세한 사용법은 다음 사이트 참고
http://devotionnoath.tistory.com/363


ctrl+d를 누르면 해당 프로그램의 .dll을 알 수 있다. 






ctrl+h를 누르면 해당 프로그램의 Handle을 보여줌 



분석시 해당 프로그램 우클릭 -> 프로퍼티에서 다양한 정보를 얻을 수 있으며 퍼포먼스탭을 보면 왜 느려지는지, 무슨 자원을 쓰는지 알 수 있다. 
TCP/IP를 보면 열려있는 부분을 알 수 있다.
Thread는 그 밑에 있는 프로세스를 볼 수 있다.
Security는 프로그램이 가지고 있는 권한과 오너랑 상속받게 됐다는 것을 알 수 있다.
경로가 이상한데에 환경설정에 슬쩍 집어넣어 사용할 수도 있다.
Strings로 문자열을 볼 수 있다.



** Task Thread의 차이점을 알아보자

우리가 작업관리자가 보는 것은 Task단위이다. 일과 관련되는 작업과 관련되는 

Task는 적어도 1개이상의 Thread로 구성되어 있다.  Task단위로 보인다는건 하부 Thread가 뭘 올라지 안보인다.

1. Task 단위로 일처리한다. 

2. 하부에는 다른 프로그램이 존재할 수 있다. 

3. 이 프로그램이 동작할 때 참고하는 것을 핸들(레지스트리등  프로세스가 사용할 때 사용하는 리소스)

4. 위의 것들을 다 이해해야 하나의 Task단위를 프로세스정보를 이해 할 수 있다.


파일이 사용하고 있는 리소스를 가져와주는 툴 resource_hacker

resource_hacker.zip


악성코드 정적분석시 .dll사용 유무 확인해주는 툴 Dependency Walker

depends22_x64.zip

depends22_x86.zip


왼쪽상단은 이 프로그램이 사용하는 .dll
오른쪽 상단은 .dll이 사용할 수 있는 함수를 나열
오른쪽 중단은 이 프로그램이 진짜로 쓴 함수를 나열해준디ㅏ.

이 프로그램은 쓰고 있는 .dll과 .dll을 이용하여 쓸 수 있는 함수를 나열해주고 프로그램이 함수를 뭐 쓰는지 알려줌.


파일에 있는 String을 가져오는 툴 Bintext 

bintext.exe




+ Recent posts