티스토리 뷰
1. virustotal 로 파일 분석 시기를 알 수 있다.
2. peview로 어떻게 컴파일 시기를 알 수 있을까?
IMAGE_FILE_HEADER 구조체에서 time data stamp 의 멤버 변수의 값을 가져와서 확인을 한다.
3. 파일 패킹 됬거나 난독화 된 징후를 알 수 있는 방법은 ?
PEID에서 패킹됬거나 난독화된 징후를 알 수 있는 방법은 특정 패커에 의해서 패킹된 파일을 특정 시그니처에서 패킹 여부 체크!
visual C++ 로 체킹 되므로 , 현재 난독화 되거나 패킹된것은 없다고 나옴.
4. import를 보고 악성코드를 판단 할 수 있는가?
dependency Walker Tool 을 사용하여 예제 파일을 받은후 import한 데이터 값을 분석한다.
5. 감염된 시스템에서 검색할 수 있는 다른파일이나 호스트의 증거는 무엇인가?
binText 툴을 사용하여 , exe파일을 분석한 결과
C:\windows\System32\kernel132.dll
dll 파일을 문자열을 분석한 결과 이것으로 증거를 찾을 수 있다.
6. 감염된 장비에서 이 악성코드를 발견하기위해 사용한 네트워크 기반의 증거는 ?
binText툴을 사용하여 String 값을 구한결과 127.26.~~이런식으로 네트워크의 IP 값이 나온것을 확인 할 수 있다.
7. 결국 , 이것들의 실습을통해서 알수 있었던것들
exe파일을 실행하면서 dll파일이 올라간다. kernel.dll파일을 변조시키던가 시스템파일 변경이 일어날 수 있음으로 판단 되며, lab01 파일에서 lab-01 파일로 로딩되면서 프로세스를 생성시키고, 그에 맞는 소켓 통신을 하게 될 것으로 판단된다!
* 사용 툴
1. bintext tool
2. depends tool
3. PEid
4. PRView
'Security' 카테고리의 다른 글
| [리버싱] 리버싱 기초 어셈블리 (0) | 2018.03.22 |
|---|---|
| [리버싱] ollyDbg(올리디버거) ollydbg Themida 동작중인 디버거가 발견되었습니다. (1) | 2018.03.19 |
| [Security] PE(Portable Executable) 구조 (0) | 2018.03.16 |
| [Securiy] PE(Portable Excutable) (0) | 2018.03.16 |
| [정보보호] 기말 강의 정리 (0) | 2017.12.04 |
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- programming
- 머신러닝
- Controller
- 백준알고리즘
- Spring
- 프로그래밍
- 안드로이드
- 노드
- 개발하는 관광이
- C langauge
- 알고리즘
- 감자개발자
- 리버싱
- 학교
- 복습
- node
- BFS
- 초보자를 위한 C언어 300제
- MVC
- 백준
- C언어
- 텐서플로우
- TensorFlow
- Android
- Algorigm
- db
- 감자코딩
- 스프링
- 코드엔진
- node.js
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함