파일 시스템 활동을 모니터해주는 툴 Process Monitor Filter에 Enable Advanced Output옵션을 사용할 수 있다. Process Montior로 무엇을 할 수 있으면 Snapshot기능을 사용할 수 있다. 악성코드 동작시키기전에 advanced output 모드를 켜두고 필터를 걸어둔다. 그리고 행위 분석을 한다. Crtl+x로 취소하면된다.
보호되어 있는 글입니다.
윈도우가 시작될 때 올라오는 프로그램을 정리해주는 툴 Autoruns
네트워크 상태(TCP등) 흐름을 보여주는 툴 TCPView 자세한 설명은 아래 사이트 참고 http://devotionnoath.tistory.com/253
윈도우 프로세스 관리 도구 Process Explorer 자세한 사용법은 다음 사이트 참고 http://devotionnoath.tistory.com/363 ctrl+d를 누르면 해당 프로그램의 .dll을 알 수 있다. ctrl+h를 누르면 해당 프로그램의 Handle을 보여줌 분석시 해당 프로그램 우클릭 -> 프로퍼티에서 다양한 정보를 얻을 수 있으며 퍼포먼스탭을 보면 왜 느려지는지, 무슨 자원을 쓰는지 알 수 있다. TCP/IP를 보면 열려있는 부분을 알 수 있다. Thread는 그 밑에 있는 프로세스를 볼 수 있다. Security는 프로그램이 가지고 있는 권한과 오너랑 상속받게 됐다는 것을 알 수 있다. 경로가 이상한데에 환경설정에 슬쩍 집어넣어 사용할 수도 있다. Strings로 문자열을 볼 수..
파일이 사용하고 있는 리소스를 가져와주는 툴 resource_hacker
악성코드 정적분석시 .dll사용 유무 확인해주는 툴 Dependency Walker 왼쪽상단은 이 프로그램이 사용하는 .dll 오른쪽 상단은 .dll이 사용할 수 있는 함수를 나열 오른쪽 중단은 이 프로그램이 진짜로 쓴 함수를 나열해준디ㅏ. 이 프로그램은 쓰고 있는 .dll과 .dll을 이용하여 쓸 수 있는 함수를 나열해주고 프로그램이 함수를 뭐 쓰는지 알려줌.
파일에 있는 String을 가져오는 툴 Bintext
CFF Explorer
악성코드 분석을 위한 리버스 엔지니어링 - PE 구조 위의 파일에서 직접 PE파일과 비교해서 찾아보면 더욱 더 좋다. PE파일 포맷이란?PE 포맷(Portable Executable)은 윈도우 운영 체제에서 사용되는 실행 파일, DLL, object 코드, FON 폰트 파일 등을 위한 파일 형식이다. PE 포맷은 윈도우 로더가 실행 가능한 코드를 관리하는데 필요한 정보를 캡슐화한 데이터 구조체이다. 이것은 링킹을 위한 동적 라이브러리 참조, API 익스포트와 임포트 테이블, 자원 관리 데이터 그리고 TLS 데이터를 포함한다. 윈도우 NT 운영체제에서, PE 포맷은 EXE, DLL, SYS (디바이스 드라이버), 그리고 다른 파일 종류들에서 쓰인다. 통일 확장 펌웨어 인터페이스 (EFI) 설명서는 PE가 ..
최근댓글