본문 바로가기

30./32. Malware Analysis

(9)
[악성코드 분석] 키로거 분석 Keylogger * 정적 분석 - 패킹 여부 확인 - 실행 파일 구조 분석 - 문자열 추출 - 실행 파일 내 Section 확인 (리소스 섹션이 암호화 되어있음) - IDA를 이용하여 실행 구조 확인 - 특정 프로세스를 호출하는 모듈 확인 - 2번째 문락에 존재하는 call 명령어 확인 - 두번째 call sub_40132C를 확인하였을때 아래와 같은 프로세스가 실행이 되며 xor를 이용하여 특정 리소스를 복호화 하는 것을 확인 - 복호화된 파일 정보가 실행 파일로 생성되는 것을 확인 - 복호화된 실행파일이 메모리 api를 이용하여 적제 * 동적분석 시작 - Regshot을 이용하여 악성코드를 실행하기 전 Registor를 저장 - Process Explorer를 실행 - Process Monitor를 이용하여 실행파일..
동적 분석 기초 동적분석
기본 정적 분석
OllyDbg, instruction 검색 Ollydbg를 사용하면서 많은 Search for가 있지만정작 내가 필요한 부분의 위치를 못찾는 경우가 있다. 이번에도 8A4C04 14 위치를 찾으려했으나 Search for에서 찾지 못해서 고생했다.OllyDbg를 사용하여 실행파일을 읽어드린 후, 전부 메모장에 옮겨서 검색을 했다.그 후 주소 위치를 파악한 후 break point 설정! Step 1, 위치 확인 Step 2, 메모장 Copy & Paste & Search Step 3, 메모리 주소 위치 확인 후 Break Point
[take off] 악성코드 분석에 도움이 될만한 사이트 정리 악성코드 분석에 도움이 될만한 사이트 정리1. 자주 쓰이는 악성코드 분석툴 2. 온라인 바이러스 스캐너 및 분석도구 3. 악성코드 유포 주소 확인 및 샘플 공유사이트 4. 전세계 악성코드들의 활동을 대쉬보드로 제공하는 사이트들 5. 악성코드 분석을 위한 가상화 및 샌드박스를 제공하는 사이트 6. 문서파일관련 악성코드 분석자료 7. 그외 공개되어 있는 악성코드 분석 도구들8. 모바일 기반 악성코드 분석 9. 악성코드 분석 강좌 및 참고자료를 제공하는 사이트10. 기타 참고자료 1. 자주 쓰이는 악성코드 분석툴동적분석 도구 - 실시간 프로세스 모니터링 (Process Explorer, Process Monitor)- 실시간 메모리 분석 (vmmap) - 윈도우 시작 프로그램 분석(Autoruns) - 실시간..
Malware Sample Search ※ https://www.google.com/cse/home?cx=001439139068102559330:uruncpbgqm8 Mila's Malware Search. Search samples for download - free, for money, or for begging. Registration or archive passwords required in some places. Be careful - live malware. Make sure your search term is longer than 3 characters.http://www.offensivecomputing.net - needs login and search from the site.Other results offer malware..
OllyDbg에서 DLL 파일 디버깅 하기 ollydbg는 실행파일(.exe) 분석작업을 진행한다. 하지만 때론 DLL을 로드하여 리버싱해야하는 상황이 발생한다. 어플리케이션과 연결된 DLL을 디버깅 방법을 설명한다. - 어플리케이션 실행 파일과 연결된 DLL을 디버깅할 때 Run the principal program (the program use the dll you can debug) and put in EVENTS the mark in STOP IN DLL LOAD. Olly stop in the load of any dll, go to view-executables, right click FOLLOW ENTRY and you can view the entry point of the dll, you can put a BP here, or ..
[바이러스] autorun.inf 치료법 하드디스크 클릭 시 접근이 안 될 때 대부분 접근은 거부 당하고 연결 프로그램이 뜨거나,아니면 다른 프로그램이 실행된다. 더블클릭했을때열리는 autorun.inf가 수정되었을 경우이기 떄문에autorun.inf을 수정하거나,삭제해도 무방하다. del c:\autorun.inf /f /s /q /a 파워 삭제