악성코드 (16) 썸네일형 리스트형 IDA Pro 프로그램 1) idapractice.exe를 IDA 프로그램을 이용하여 연다. 32비트 파일 실행위한 ida를 실행하고 분석할 파일을 선택합니다. 파일을 열면 어떤 파일을 분석할 것인지 자동으로 선택이 되어 보여줍니다. pe파일임을 자동으로 인식하니 그냥 ok하고 넘어갑니다. 그래프 모드로 보여지는 모습입니다. 2) 그래프모드로 열린 화면에서 텍스트 모드로 변경한다. 이 화면에서 텍스트 모드로 변경하려면 [스페이스바] 단축키를 사용합니다. 이전 그래프 모드로 돌아가려면 동일하게 스페이스 바를 누르면 됩니다. 3) 그래프모드에서 행번호와 명령어 코드를 출력하기 위한 옵션을 설정하시오. option> General> 로 들어가서 위와같이 설정합니다. 4) 단축키를 사용하여 401D90 주소 위치로 이동하시오. G를 .. 기초 동적 분석에 필요한 도구 이전 포스팅까지는 정적 분석을 통해 악성코드를 보았습니다. 정적 분석하는 것을 아직 모르시는 분들은 이전 포스팅을 통해 알고 오시면 되겠습니다. 각 실습 예제 파일별로 여러가지의 분석도구들을 사용하였으니 참고하기시 바랍니다. 2020/04/16 - [study/Reversing] - 기초 정적 분석, lab01-01.exe, lab01-01.dll 분석하기 기초 정적 분석, lab01-01.exe, lab01-01.dll 분석하기 2020/04/16 - [study/Malicious code basic, Reversing] - 기초 정적 분석에 필요한 도구 기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지.. hxxyxxn-1238.tis.. 기초 정적 분석, lab01-02.exe lab02를 진행해보겠습니다. 이전과 같은 방식으로 진행됩니다. 파일은 악성코드 예제인관계로 업로드가 되질않네요.. 1. Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 72개의 엔진 중에 54개에서 악성코드로 탐지하였습니다. 안티바이러스의 이름을 확인가능합니다. 대부분 트로이목마라고 되어있는 것으로 보아 형태를 알 수 있고, win32형태로 동작한다는 것, 그리고 downloader라는 단어가 나옴으로 인해 네트워크 기반으로 악성코드가 동작함을 유추할 수 있습니다. 이 파일은 win32 타입이고, 패커의 종류도 미리 알수 있습니다. upx패커인지는 peid를 통해 확인해보겠습니다. import는 4가지 dll로 되어있는데, advapi32.dll은 익숙하.. 기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지만 악성코드를 직접 실행하면 피해가 올 수 있으니, 실행하지 않고 분석하는 과정인 정적분석의 기본을 알아보고자 합니다. 주요 사용 기법은 다음과 같습니다. 1. 악성 여부를 판단하는 안티 바이러스 도구 2. 악성코드를 판별하는 해시 정보 검증 3. 파일의 문자열, 함수, 헤더에서 주요 정보 수집. 1. 안티바이러스 스캐닝 악성코드 실행 및 탐지에 사용할 수 있는 사이트가 있습니다. https://www.virustotal.com/gui/home VirusTotal www.virustotal.com 해당 사이트는 구글이 인수하여 운영되고 있습니다. 때문에 UI도 보기 편하고 간단하게 업데이트 되고 있습니다. 악성코드 예제 .. Reversing Theory- abex' crackme #1 *올리디버거 1.1 버전으로 사용합니다. 소스코드 없이, exe파일로 디버깅을 해보겠습니다. 우선 예제 파일을 열어볼게요. 해당 파일은 크랙연습용 공개파일입니다. 이렇게 확인을 누르면, 에러메시지창이 뜹니다. 올리디버거로 열어보겠습니다. 해당 코드윈도우부분을 보시면 매우 간단한 것을 알 수 있습니다. 이 아래부분은 00,,, 밖에 없습니다. 코드가 간단하니 이해하기도 상대적으로 쉬울 것이라고 예상해봅니다. stub code가 없는것으로 보아 이 파일은 어셈블리로만 작성이 된 코드입니다. 맨처음에 실행되는 것은 messagebox A 함수입니다. 실행시에 첫 화면이 뜨고, 이후 에러메시지가 뜬 창이 하나 더 있었으니 메시지박스 함수가 하나 더 있겠죠 아래를 보니 두개가 더 있네요. 파란네모부분은 기존에 보.. [알약크루2기] 내 계좌에 누가 있는거 같아!- 피싱과 파밍 금방 돌아온 알약크루... 오늘은 피싱과 파밍에 대해 알아보았습니다! 많이 들어본 단어들이지만 왜 피싱이고 파밍인지, 둘이 단어가 비슷한데 뭐가 다른건지 정확하게 아시는 분은 많지 않을거같아요. 이제 카드뉴스 만드는 것도 나름.. 능숙해졌다고 생각합니다... 유익한 카드뉴스였길 바랍니다! 알약하나면,,, 모두 해결가능해요.. 여러분.. 알약하세요~~~~~~~~~~~~ [알약크루2기] 업데이트, 언제까지 직접 눌러서 할래? 안녕하세요! 알약크루 2기도 이제 거의 막바지네요.. 오늘은 SW업데이트에 대해 이야기해보려고 해요. 취약점- 공격의 시간적 관계에 대해 들어보셨나요? 아니면 혹시 이런 순서도를 보신적이 있나요? 요약하자면 개발자가 소프트웨어를 발매한 뒤에 1. 공격자가 개발자보다 취약점을 먼저 발견하여 공격하는 경우- 공격 이후 개발자가 알아차리고 업데이트패치 배포 2. 공격자가 취약점을 발견하기 전, 개발자가 공격자보다 먼저 스스로 취약점을 발견하여 업데이트 패치 배포 이렇게 크게 두가지만 우리는 알면 됩니다!! 최종적으로 이러한 취약점을 막고 안전한 소프트웨어로 다시 업데이트하는 것이 안전의 끝일텐데요 어찌어찌해서 개발자가 업데이트 패치를 배포해도, 사용자가 패치업데이트를 하지않으면 .... 무용지물이 되겠죠? 보.. [알약크루2기] 도람뿌와 이북리더김정은도 사용한다는 알약 안 녕 하 세 요 ㅎㅁㅎ! 알약을 조금 새롭게 다가갈 수 있는 방법으로 저만의 세계에서 존재하고있는 도람뿌님과 이북리더 김정은님의 대화를 한번 응용해보았습니다... 재밌게 봐주세요 ~_~ ㅎㅁㅎ 이전 1 2 다음
