본문 바로가기
728x90

study

 (53)
기초 정적 분석, lab01-03.exe lab01-03.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 총 70개중 62개의 엔진에서 악성코드라고 판단하였습니다. 분석된 이름을 보면 트로이목마라고 대부분 되어있고, win32형태이며 FSG패커를 사용한 파일이라고 추측이 가능합니다. 요약부분입니다. 해당 부분을 보면 url과 domain, ip에 컨택이 될 것 같습니다. 이후에 string에서 문자열로도 확인이 가능하겠지만,url주소와 domain, ip주소도 미리보기가 가능합니다. ip주소들은 미국에 위치한 주소들임을 알 수 있었습니다. 2. 패킹이나 난독화의 흔적이 있는가? 그 이유는? PEiD를 통해 확인해보겠습니다. 패킹은 위에서 확인한 바와같이 FSG패커로..
기초 정적 분석, lab01-02.exe lab02를 진행해보겠습니다. 이전과 같은 방식으로 진행됩니다. 파일은 악성코드 예제인관계로 업로드가 되질않네요.. 1. Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 72개의 엔진 중에 54개에서 악성코드로 탐지하였습니다. 안티바이러스의 이름을 확인가능합니다. 대부분 트로이목마라고 되어있는 것으로 보아 형태를 알 수 있고, win32형태로 동작한다는 것, 그리고 downloader라는 단어가 나옴으로 인해 네트워크 기반으로 악성코드가 동작함을 유추할 수 있습니다. 이 파일은 win32 타입이고, 패커의 종류도 미리 알수 있습니다. upx패커인지는 peid를 통해 확인해보겠습니다. import는 4가지 dll로 되어있는데, advapi32.dll은 익숙하..
기초 정적 분석, lab01-01.exe, lab01-01.dll 분석하기 2020/04/16 - [study/Malicious code basic, Reversing] - 기초 정적 분석에 필요한 도구 기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지만 악성코드를 직접 실행하면 피해가 올 수 있으니, 실행하지 않고 분석하는 과정인 정적분석의 기본을 알아보고자 합니다.. hxxyxxn-1238.tistory.com 앞 포스팅을 보고오시면 더 이해하기 쉽습니다. 1. virustotal에 업로드 후 보고서 확인하기/ 기존 안티바이러스 정의된 것과 일치하는가? 이전 포스팅에 한번 진행된 부분이라 생략하겠습니다. 2. 이 파일의 컴파일 시점? - PEviewer이용 exe파일의 컴파일 시간은 2010/12/19 16:..
기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지만 악성코드를 직접 실행하면 피해가 올 수 있으니, 실행하지 않고 분석하는 과정인 정적분석의 기본을 알아보고자 합니다. 주요 사용 기법은 다음과 같습니다. 1. 악성 여부를 판단하는 안티 바이러스 도구 2. 악성코드를 판별하는 해시 정보 검증 3. 파일의 문자열, 함수, 헤더에서 주요 정보 수집. 1. 안티바이러스 스캐닝 악성코드 실행 및 탐지에 사용할 수 있는 사이트가 있습니다. https://www.virustotal.com/gui/home VirusTotal www.virustotal.com 해당 사이트는 구글이 인수하여 운영되고 있습니다. 때문에 UI도 보기 편하고 간단하게 업데이트 되고 있습니다. 악성코드 예제 ..
악성코드 분석- 기초 정적 분석, PE파일(2) 2020/04/09 - [study/Malicious code basic, Reversing] - 악성코드 분석- 기초 정적 분석, PE 파일 악성코드 분석- 기초 정적 분석, PE 파일 윈도우에서 가장 많이 악성코드로 제작되어 배포되는 PE 파일에 대해 알아보겠습니다. PE(Portable Excutable)파일 - win32 기본 파일형식 - exe, scr, sys, dll ... PE파일의 실행과정은 다음과 같습니다. 1. PE.. hxxyxxn-1238.tistory.com 이전 글을 참고해서 이번엔 메시지 창이 뜨는 코드를 직접 작성하고, 그 파일을 분석해보겠습니다. #include void main() { MessageBoxA(NULL, "test", "test", 0); Sleep(300)..
악성코드 분석- 기초 정적 분석, PE 파일 윈도우에서 가장 많이 악성코드로 제작되어 배포되는 PE 파일에 대해 알아보겠습니다. PE(Portable Excutable)파일 - win32 기본 파일형식 - exe, scr, sys, dll ... PE파일의 실행과정은 다음과 같습니다. 1. PE파일 실행 2. 헤더 정보를 메모리에 매핑 3. 실제 프로그램 코드로 분기 PE파일을 분석하는 방법은 헥사 에디터를 통하면 되는데요, 이전 글에서 사용했던 PEview를 사용하면 더 쉽게 보실 수 있습니다. 컴퓨터에 다 있는 메모장! 을 활용해서 한번 분석해보겠습니다. notepad.exe 를 PEviewer로 분석을 할 것입니다. notepad.exe 의 위치는 C:\Windows\System32에 가시면 확인 가능합니다. PEview로 notepad.ex..
Reversing Theory- abex' crackme #1 *올리디버거 1.1 버전으로 사용합니다. 소스코드 없이, exe파일로 디버깅을 해보겠습니다. 우선 예제 파일을 열어볼게요. 해당 파일은 크랙연습용 공개파일입니다. 이렇게 확인을 누르면, 에러메시지창이 뜹니다. 올리디버거로 열어보겠습니다. 해당 코드윈도우부분을 보시면 매우 간단한 것을 알 수 있습니다. 이 아래부분은 00,,, 밖에 없습니다. 코드가 간단하니 이해하기도 상대적으로 쉬울 것이라고 예상해봅니다. stub code가 없는것으로 보아 이 파일은 어셈블리로만 작성이 된 코드입니다. 맨처음에 실행되는 것은 messagebox A 함수입니다. 실행시에 첫 화면이 뜨고, 이후 에러메시지가 뜬 창이 하나 더 있었으니 메시지박스 함수가 하나 더 있겠죠 아래를 보니 두개가 더 있네요. 파란네모부분은 기존에 보..
Reversing Theory- little endian 악성코드를 분석할 때, 소스코드를 모르는 상태에서 분석해야하는 것이 대부분입니다. 리버싱 또한, 소스와 결과물 없이 분석을 해야합니다. 앞으로 우리는 디셈블 코드를 주로 보게 될겁니다. 그런데 이 디셈블 코드도 없이! 오직 헥사코드로만 분석을 해야하는 경우가 있습니다. 바이트 오더링: 컴퓨터에서 메모리에 데이터를 저장하는 방식입니다. 두가지의 방법이 있는데, Big Endian과 Little Endian이 있습니다. Big Endian- 순서대로 표기 Little Endian- 역순으로 표기 여기서 우리가 주목해야할 방법은 Little Endian 이 되겠습니다. 리틀에디언 방식은 윈도우계열에서 사용이 되기때문에 알아두어야겠죠? 우선 예제 코드를 보겠습니다. #include "windows.h" BYTE..
728x90
반응형

티스토리툴바