Information Security ˗ˋˏ ♡ ˎˊ˗
반응형

Security/Reversing 23

[악성코드정적분석] PracticalMalwareAnalysis-Lab01-01 분석

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? [Lab01-01.exe] 69개 엔진 중에서 41개가 악성코드로 탐지 -> 악성코드임을 예측할 수 있다. AhnLab-V3, Microsoft, F-Secure 등이 악성코드로 인식 악성코드 이름이 대부분 Trojan, Win32, Heuristic 등으로 설정 예측: Trojan형태는 네트워크 기반의 통신 행위를 한다. 별도로 소프트웨어를 설치하거나 동작할 확률이 높다. 해시 정보가 나와 있다. 이 해시 값을 가지고 변조되었는지 확인할 수 있다. PE32 MS 윈도우 기반으로..

Security/Reversing 2020.04.17

[악성코드분석] 기초정적분석02 - PE파일 포맷

기초정적분석 설명 참고 https://t-okk.tistory.com/43 [악성코드분석] 기초정적분석01 - 설명 및 도구 기초정적분석 - 프로그램의 기능을 파악하기 위해 코드나 프로그램의 구조를 분석 - 악성코드를 실행하지 않고 분석하는 과정 기초정적분석 방법 - 악성 여부를 판단하는 안티바이러스 도구 사용 - 악성코드 판별.. t-okk.tistory.com 1. PE 파일 포맷 윈도우 실행 파일 포맷: DLL, PE(Portable Executable) PE file header - 코드에 관한 정보를 수집 - 애플리케이션 유형 - 필요한 라이브러리 함수 - 메모리 공간 요구 사항 - exe 파일의 특징 파악 2. 링크 라이브러리와 함수 import 함수 목록 확보: 다른 프로그램에 저장된 라이브..

Security/Reversing 2020.04.17

[악성코드분석] 기초정적분석01 - 설명 및 도구

[기초정적분석] 프로그램의 기능을 파악하기 위해 코드나 프로그램의 구조를 분석 악성코드를 실행하지 않고 분석하는 과정 [기초정적분석 방법] 악성 여부를 판단하는 안티바이러스 도구 사용 악성코드 판별하는 해시 정보 검증 파일의 문자열, 함수, 헤더에서 주요 정보 수집 1. 안티바이러스 스캐닝 악성코드 탐지 - 패턴 매칭 분석(주로 많이 사용): file signatures를 검색하여 찾는 방법 - heuristic: 악성코드를 변조시키거나, 신종을 나오게 하는 방법 tool: virustotal site(https://www.virustotal.com/gui/) 1.1 실습 [notepad.exe] [PracticalMalwareAnalysis-Labs.exe] 2. 해시 정보 검증 해시: 악성/정상 코드..

Security/Reversing 2020.04.17

[PE 파일] 분석 - PEtest.exe (with PEview)

직접 EXE파일 만들어서 peview.exe로 분석해보기 1. PEtest.exe라는 프로그램 만들기 참고 https://t-okk.tistory.com/32?category=819930 Reversing 실습 - 기본 디버깅 1. 기본 디버깅: 프로그램 시작 주소 및 main 함수 확인 - Hello World!라는 프로그램 만들기 Ollydbg(v1.1)로 열어서 확인 Entry Point(윈도우 실행파일의 코드 시작점): 0040126F - Ollydbg에서 F7, F8, F9를.. t-okk.tistory.com 2. Binary File 2.1 IMAGE_DOS_HEADER winnt.h [IMAGE_DOS_HEADER] 주요 정보 e_magic: 4D 5A(MZ), PE 파일 구조 e_lfan..

Security/Reversing 2020.04.10

[PE 파일] 분석 - calc.exe (with PEview)

윈도우 실행파일(계산기) 분석해보기 calc.exe(ver. Win10) 1.1 IMAGE_DOS_HEADER 대부분의 내용이 0으로 패딩된 것을 볼 수 있다. winnt.h [IMAGE_DOS_HEADER] e_magic(5A4D) - Window System에서는 리틀 엔디안이 사용되기 때문에 역순으로 적혀 있다. - Signature 정보는 MZ(4D 5A)이며 PE 파일 구조를 나타낸다. e_lfanew: (000000F8)IMAGE_NT_HEADER 시작주소 1.2 DOS Stud Code This program cannot be run in DOS mode 실행하지 않아도 정적 분석을 통해서 윈도우에서 실행되는 파일임을 알 수 있다. 1.3 IMAGE_NT_HEADERS 1.3.1 첫번째 si..

Security/Reversing 2020.04.09

[PE 파일] 구조(4) - PE 파일 섹션(Section_Header .text)

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Section_Header 실제 실행되는 섹션의 종류 IMAGE_SECTION_HEADER .text .text 섹션 주요 내용 값 멤버 의미 0x747865742E NAME 섹션이름 .text 0x01AE2C Virtual Size 메모리 섹션 크기 정보 0x1000 Virtual Address 메모리 섹션의 시작 주소, RVA Image Base가 0x1이므로 실제주소는 0x1001이 된다. Optional Header의 Base of Code 값과 동일 0x1B000 Size Of Raw Data 파일에서의 섹션 크기 (File Alignment의 배수) 0x400 Pointer To Raw Data 파일에서의 섹션의 시작 위치..

Security/Reversing 2020.04.09

[PE 파일] 구조(3) - PE 파일 헤더(NT_Header)

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) NT_Header 첫번째 signature : 4byte공간 PE구조 파일 명시 50 45: PE(아스키) 두번째 File_Header 1. Machine(CPU): 0x8664-AMD64 CPU/0x014c-Intel CPU 호환 2. 섹션의 개수: 0x0005 3. Time Data: 0x144CAAC5→340568773 - 계산하는 방법(예): /60=20792156분 35초, /60=346535시간 56분, /24=14438일 23시, /365=39년 203일 - (컴퓨터 기준)1970년 1월 1월 0시 + 39년 203일 23시 35초 = 2009년 7월 13일 23시 56분 35초 4. Pointer To Symbol Ta..

Security/Reversing 2020.04.09

[PE 파일] 구조(2) - PE 파일 헤더(DOS_HEADER, DOS Stud Code)

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Notepad.exe [IMAGE_DOS_HEADER] 첫번째 주소(5A4D): 앞에서 4D5A로 표현되어 있는데 이것을 보고 리틀엔디안인지 빅엔디안인지 알 수 있다. Window System에서는 리틀엔디안이 사용되기 때문에 역순으로 적혀있다. 헤더에서 signature 정보(MZ) winnt.h [IMAGE_DOS_HEADER] 단위: WORD(16진수를 4자리씩 끊어서 읽음) IMAGE_DOS_HEADER 내용은 거의 0으로 패딩된 것을 볼 수 있다. 그 중에서 중요한 정보 e_magic - 4D 5A(MZ): PE파일 구조_실제로는 5A 4D로 읽는다. - D0 CF 11 E0(OLE), 50 4B(ZIP), 25 50 44 ..

Security/Reversing 2020.04.09

[PE 파일] 구조(1) - PE파일 정의, 구조(PEview.exe)

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) PE 파일 - 정의: 실행가능한 파일, Win32 기본 파일 형식_윈도우 환경에서 동작이 된다. - 종류: exe, scr, sys, dll, ocx 등 - 프로세스(메모리 상에서 실행되는 형태) = exe + dll - 실행과정 1) PE파일 실행(더블클릭, 커맨드에서 실행) 2) 메모리에 PE 헤더 정보를 매핑 - 실제 프로세스를 위한 메모리 할당, 섹션 정보를 메모리에 복사, Import 정보 처리, 기준 재배치 처리) 3) 실제 프로그램 코드로 분기 - Hex editor 이용(PEview.exe) PEView.exe notepad.exe(ver. Win 10) 프로그램 실행 영역: text 실제 데이터 영역은 SECTION ..

Security/Reversing 2020.04.09

[Reversing 실습] abex’ crackme #1

abex’ crackme #1 : crack 연습 목적용 공개 프로그램 Ollydbg(v1.1) 코드의 특징: 어셈블리로 작성된 코드, 시작 주소가 EP로 매우 간단하고 명확하게 작성(stub code가 없음) - 여기서 MessageBoxA 총 3개의 API 함수를 사용 코드의 목적: MessageBoxA 순서대로 1, 2, 3으로 볼 때, 원래는 1->2로 이동하는데 1->3으로 이동하길 원한다. 코드 분석 00401000 PUSH 0 ; Style = MB_OK|MB_APPLMODAL 00401002 PUSH 402000 ; Title = "abex' 1st crackme" 00401007 PUSH 402012 ; Text = "Make me think your HD is a CD-Rom." 004..

Security/Reversing 2020.04.01
반응형