study/악성코드분석&리버싱 (22) 썸네일형 리스트형 Windbg commands, 윈디버거 명령어들 http://windbg.info/doc/1-common-cmds.html Common WinDbg Commands (Thematically Grouped) 1) Built-in help commands Cmd Variants / Params Description ? ? ? /D Display regular commands Display regular commands as DML .help .help .help /D .help /D a* Display . commands Display . commands in DML format (top bar of links is given) Display . command windbg.info *중요! IDA Pro 이용하여 Lab05-01.dll 분석하기 1) DllMain의 주소는 무엇인가? IDA pro에서 실습 파일을 열면 자동으로 dll main함수부터 보여줍니다. 때문에 main의 주소는 1000D02E임을 바로 알 수 있습니다. 2) Imports 윈도우를 이용해 gethostbyname을 탐색해보자. 임포트 위치는 어디인가? 우선 gethostbyname이라는 함수에 대해 알아보겠습니다. 우리가 접속하고자하는 사이트에 대한 정보들을 알아오기위한 함수입니다. 그 정보들에는 ip등이 있곘습니다. import window를 보고 검색을 통해 api를 찾습니다. gethostbyname함수의 import위치는 .idata 섹션의 100163CC라는 위치에서 사용할 수 있도록 명시되어있습니다. 3) gethostbyname에 함수는 몇 개인가? get.. IDA Pro 프로그램 1) idapractice.exe를 IDA 프로그램을 이용하여 연다. 32비트 파일 실행위한 ida를 실행하고 분석할 파일을 선택합니다. 파일을 열면 어떤 파일을 분석할 것인지 자동으로 선택이 되어 보여줍니다. pe파일임을 자동으로 인식하니 그냥 ok하고 넘어갑니다. 그래프 모드로 보여지는 모습입니다. 2) 그래프모드로 열린 화면에서 텍스트 모드로 변경한다. 이 화면에서 텍스트 모드로 변경하려면 [스페이스바] 단축키를 사용합니다. 이전 그래프 모드로 돌아가려면 동일하게 스페이스 바를 누르면 됩니다. 3) 그래프모드에서 행번호와 명령어 코드를 출력하기 위한 옵션을 설정하시오. option> General> 로 들어가서 위와같이 설정합니다. 4) 단축키를 사용하여 401D90 주소 위치로 이동하시오. G를 .. x86 디스어셈블리 shadow(ollydbg와 같음)에서 파일을 열고 레지스터와 스택의 변화를 보겠습니다. mov 실습 >push ebp ebp의 값인 0012fff0이 하단 레지스터에 추가된 것을 확인하였습니다. >mov ebp, esp esp를 ebp로 바꿉니다. 현재 esp에 있는 값은 예전의 ebp값이기 때문에, 새로운 함수의 스택 명령을 위해 현재의 시작지점으로 바꿉니다. >sub esp, 8 8을 빼고 ffb8이 되었습니다. >mov ebp-4, 22334455 >mov ebp-8, 0 을 수행하고 각 자리에 22334455와 0값이 들어가 있게되었습니다. >mov esi, ebp-4 >mov edi, ebp-8이 되어서 각 값이 들어갔습니다. >mov esp, ebp 를 하게되어 esp값에 이전 ebp값이 들.. 기초 동적 분석, Lab03-04.exe 2020/05/24 - [study/Reversing] - 기초 동적 분석, Lab03-03.exe 기초 동적 분석, Lab03-03.exe 이전 포스팅 2020/05/23 - [study/Reversing] - 기초 동적 분석, Lab03-02.dll 기초 동적 분석, Lab03-02.dll 2020/05/21 - [study/Reversing] - 기초 동적 분석, Lab03-01.exe 기초 동적 분석, Lab03-01.exe 기초.. hxxyxxn-1238.tistory.com Lab03-04.exe파일을 분석해보도록 하겠습니다. 1) 이 파일을 실행했을 때 어떤 일이 발생했는가? 먼저 CFF exp, import directory를 보도록 하겠습니다. kernel32.dll: 대부분의 함수들이 .. 기초 동적 분석, Lab03-03.exe 이전 포스팅 2020/05/23 - [study/Reversing] - 기초 동적 분석, Lab03-02.dll 기초 동적 분석, Lab03-02.dll 2020/05/21 - [study/Reversing] - 기초 동적 분석, Lab03-01.exe 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파.. hxxyxxn-1238.tistory.com Lab03-03.exe를 동적분석 해보겠습니다. 1) Process Exp로 이 악성코드를 모니터링 했을 때, 알아낼 수 있는 것은? procexp를 먼저 실행시킨 후 악성코드를 실행하여야 합니다. 악성코드를 실행해보면, procexp에 lab03-.. 기초 동적 분석, Lab03-02.dll 2020/05/21 - [study/Reversing] - 기초 동적 분석, Lab03-01.exe 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파일들을 옮겨놓고 스냅샷을 통해 초기상태를 저장해둡니다.!!! 꼭!!!!! Lab03-01.exe파일� hxxyxxn-1238.tistory.com 이전 포스팅에 이어 Lab03-02.dll을 분석해보도록 하겠습니다. 스냅샷을 이용하여 초기 세팅으로 먼저 돌아가서 시작합니다. 동적 분석을 하기에 앞서, 정적 분석을 통해 알아보겠습니다. CFF exp를 이용해서 import dll을 보았습니다. dll 라이브러리들이 정직하게 보이는 것으로 보아 패킹은 .. 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파일들을 옮겨놓고 스냅샷을 통해 초기상태를 저장해둡니다.!!! 꼭!!!!! Lab03-01.exe파일을 분석해보도록 하겠습니다. 1) 악성코드의 임포트 함수와 문자열은 무엇인가? lab03-01.exe파일을 우클릭 후, CFF Explorer를 통해 임포트 함수를 살펴보겠습니다. kernel32.dll이 있고, 그 안에 ExitProcess함수만 존재합니다. 해당 함수를 msdn에 검색해보니 어떤 프로세스화 호출 등을 종료하는 함수입니다. 호출 종료함수만 나와있어 무언가 숨겨져있는 것이 있을 것 같고, 어떤 특별한 행위를 한다고 판단하기 어렵습니다. 그래서 한번 패킹이 되어있는지 확인하겠습.. 이전 1 2 3 다음
