[윈도우즈보안과 악성코드기초] PE 파일 PuTTY.exe 파일 분석하기 IMAGE_DOS_HEADER MS-DOS Stub Program IMAGE_NT_HEADERS ( IMAGE_FILE_HEADER ) IMAGE_NT_HEADERS ( IMAGE_OPTIONAL_HEADER ) IMAGE_SECTION_HEADER ( IMAGE_SECTION_HEADER .text ) 악성코드 분석/실습 2021.03.28
[윈도우즈보안과 악성코드기초] PE 파일 PE ( Portable Excutable ) 파일 : 실행 가능한 파일 ( exe, dll, sys, src, ocx 등 ) Win32 기본 파일 형식 ( 윈도우 환경에서 동작 ) 메모리 상에서 실행되는 형태 ( = Process ) : exe + dll 예전에는 exe 단독 사용, 윈도우 환경이 커지면서 여러가지 자원을 사용하기 위해 dll도 같이 사용 실행 과정 PE 파일 실행 -> 헤더 정보를 메모리에 매핑 -> 실제 프로그램 코드로 들어가서 실행 정적 분석에 해당 ( Hex Editor, PEview 등을 사용 ) 더보기 ※ PE 헤더 정보를 메모리에 매핑 1. 실제 프로세스를 위한 메모리 할당 2. 섹션 정보를 메모리에 복사 3. import 정보 처리 4. 기준 재배치 처리 PEview.ex.. 악성코드 분석/이론 2021.03.28
[윈도우즈보안과 악성코드분석기초] 문자열 패치 문자열 패치 방법 문자열 버퍼를 직접 수정 다른 메모리 영역에 새로운 문자열을 생성하여 전달 1. 문자열 버퍼를 직접 수정 2주차의 'Hello World!'파일 사용해서 실습 ⓐ F8과 F7을 이용하여 main()함수에 들어가면 Text = "Hello World!" 부분을 찾을 수 있음 [ Run ]을 통해 바로 이동 > ⓑ 해당 부분의 어셈블리어 코드를 더블클릭해서 확인하면 Text가 어디에 저장돼있는지 확인할 수 있음 ⓒ Hex dump에서 Text부분을 드래그 해서 [ Ctrl + E ]해서 수정 [ Copy to Excutable File ] > 소스 코드 없이 문자열 수정 가능하다... 악성코드 분석/실습 2021.03.22
