ﾚ(ﾟ∀ﾟ)ﾍ=3=3

동적분석 : 소프트웨어가 실행 중인 환경 하, 다양한 입/출력 데이터, 사용자 상호작용의 변화들을 점검 1. Process Monitor 1) Process Monitor - windowproject.exe 필터 2) windowproject.exe 파일을 실행 - PID 값 3828 확인 3) RegOpenKey, RegQueryValue, RegCloseKey 등 같은 Operation 반복 4) Operation 중 UDP Receive, UDP Unknown 중요 4-1) 첫 번째 UDP Unknown : ‘114.70.37:10004’에 무언가를 send, UDP Receive를 통해 다시 무언가 recieve 4-2) 두 번째 UDP Unknown : 첫 번째 UDP Unknown을 참고하여 ..

정적분석 : 소스 코드의 실행 없이 정적으로 프로그램의 문제를 찾는 과정 1. VirusTotal 1) 68개의 기존 안티바이러스 중에 5개가 일치 2) ‘DETECTION 부분에서 ‘Program:Win32...’을 통해 ‘win32’에서 동작이 되고, ‘Trojan’이라는 단어가 나오는 것을 통해 ‘Trojan’ 형태로 은닉되어 있다가 활동한다고 유추 가능 3) 'Malware' 이라는 단어가 반복적으로 나오는 것을 확인 2. PEID 1) EP Section 부분 - '.text’ 2) ‘Nothing found *' 3) 결론 - 패킹, 난독화 되지 않음 3. WinMD5Free 1) VirusTotal 사이트에서 나온 MD5 해시값과 해당 파일의 해시값(고유값)을 비교 2) 두 해시값이 같으므로..

1) idapractice.exe를 IDA 프로그램을 이용하여 연다. xp professional 사용(windows7 환경), 다운 시 방화벽 끄고 실행 2) 그래프모드로 열린 화면에서 텍스트 모드로 변경한다. 텍스트 모드로 변경(space) 3) 그래프모드에서 행번호와 명령어 코드를 출력하기 위한 옵션을 설정하시오. Options - General - Display disassembly line parts - Line prefixes (graph) 선택 + Number of opcode bytes (graph) 6 설정 4) 단축키를 사용하여 401D90 주소 위치로 이동하시오. 단축키 g : Jump to address - 401D90 이동 5) 그래프 모드에서 화살표 색깔을 보고 무조건 점프, 조..

기초 정적분석 part02 PE 파일헤더와 섹션 .text : CPU가 실행하는 명령어인 실행 가능한 코드 포함 대부분의 코딩과 관련된 명령어가 포함 .rdata : 임포트와 익스포트 정보 포함, 읽기 전용 데이터 저장 : .idata, .edata 포함 : 임포트, 익스포트 정보 저장 외부 dll 파일, api 함수들에 대한 정보 포함 더보기 .rdata .idata : 존재 시 임포트 함수 정보를 저장하고 있으며, 존재하지 않는다면 .rdata 섹션 내의 임포트 함수 정보에 저장됨 .edata : 존재 시 익스포트 함수 정보를 저장하고 있으며, 존재하지 않는다면 .rdata 섹션 내의 익스포트 함수 정보에 저장됨 .pdata : 64비트 실행 파일에만 존재하며, 예외 처리 정보를 저장함 .data :..

PuTTY.exe 파일 분석하기 IMAGE_DOS_HEADER MS-DOS Stub Program IMAGE_NT_HEADERS ( IMAGE_FILE_HEADER ) IMAGE_NT_HEADERS ( IMAGE_OPTIONAL_HEADER ) IMAGE_SECTION_HEADER ( IMAGE_SECTION_HEADER .text )