-o-k's story

DarkNamer download: https://software.naver.com/software/summary.nhn?softwareId=GWS_000169 설명: DarkNamer은 세부적으로 이름을 바꾸거나 추가 그리고 지울 수 있고 이외에 확장자 등을 수정할 수 있다. RePlace Text download: https://download.cnet.com/Replace-Text/3000-2351_4-75628542.html 설명: Windows 에서 사용할 수 있으며, 여러 텍스트 파일의 문자열을 변환할 수 있게 해주는 프로그램이다.

설치된 패키지 확인하기 $ dpkg -l 원하는 패키지 설정해서 확인하기 $ dpkg -l | grep docker 파이썬을 이용하여 파일 압축풀기 $ apt-get install unzip -y $ unzip "압축파일명" 자기 자신 명령어 확인 cat /etc/lsb-release

* 작업 환경 Ubuntu 18..04.4 Tensorflow-qpu-2.2.0 * 사용한 데이터 https://www.kaggle.com/c/microsoft-malware-prediction Microsoft Malware Prediction Can you predict if a machine will soon be hit with malware? www.kaggle.com 1. 작업환경(jupyter notebook) https://t-okk.tistory.com/51 Ubuntu에서 Jupyter Notebook 환경 구축 사용한 ubuntu version 1. Python3 다운로드 및 실행 확인 1.1 python3을 다운로드 $ apt-get install python3 1.2 버전 확인 $..

윈도우에서 리눅스로 파일을 업로드하거나 다운로드 하는 방법 = FTP 구축되어있지 않아도 가능 "PSCP" 1. Putty 설치 https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html Download PuTTY: latest release (0.73) This page contains download links for the latest released version of PuTTY. Currently this is 0.73, released on 2019-09-29. When new releases come out, this page will update to contain the latest, so this is a good page to bo..

사용한 ubuntu version 1. Python3 다운로드 및 실행 확인 1.1 python3을 다운로드 $ apt-get install python3 1.2 버전 확인 $ python3 --version 1.3 실행 $ python3 2. pip(파이썬 패키지 관리자) 설치 2.1 파일 다운로드 $ wget https://bootstrap.pypa.io/get-pip.py 2.2 설치된 파일 확인 $ ls 2.3 get-pip.py 파일이 존재 => 아래 명령어를 통해 파일을 실행 $ python3 get-pip.py 2.4 버전을 확인 $ pip --version 2.5 설치되어 있는 Python 패키지 확인 $ pip list 2.6 Python 패키지 검색하기 https://pypi.org/ ..

객체 탐지(Object detection): 영상 속의 어떤 객체(Label)가 어디에(x, y) 어느 크기로(w, h) 존재하는지를 찾는 Task를 말한다. 콘볼루션 신경망(CNN) 기술을 활용하면 제한된 객체 탐지에 대한 회귀 분류 가능 = 제한된 객체 탐지(정해진 수의 대상을 처리) l 이미지 인식(Image Recognition) l 핵심 포인트 탐지(Key Points Detection) l 시맨틱 분할(Semantic Segmentation) 다수의 사각형 상자 위치와 크기를 가정해 콘볼루션 신경망을 변형한 후 이를 객체 분류(Object Classification)에 활용 가능하다. 여기서 사각형 상자들이 ‘윈도우(Window)’라고 한다. 한계: 많은 객체를 탐지하는 것 객체 탐지를 효율적..

[Lab01-04.exe_] [output.exe] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan Downloader, Win32가 나오는 데, 봤을 때 trojan이긴 한데 다운로드를 하는 것으로 추측할 수 있다. 생성일자를 보면 2019-08-30으로 나오는 것을 알 수 있다. 맨 처음에 탐지가 된 것을 2011년으로 나온다. 악성코드 샘플에 연결된 도메인 정보가 나온다. 추측: 이 파일이 연결하고 있는 IP 주소가 두 개가 나오는 것을 알 수 있다. 확인된 IP 주소가 아닐 경우 악성코드로 의심할 수 있다. 이 파일은 연관되어있는 실행파일이 하나 더 있다는 것을 볼 수 있다. 두 개의 URL과 Domain이 연결되어있다. 추측..

[Lab01-03.exe] [Lab01-03_unpacked.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan, packer가 있는 것을 봐서는 패킹이 되어있을 확률이 높다. 악성코드일 확률이 높음을 알 수 있다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] 추측: FSG1.0 버전으로 패킹이 되어있는 것을 알 수 있다. FSG로 패킹이 되어있는 것을 언패킹 하기 위해 사용한 tool: VMUnpacker [VMUnpacker.exe] 해당 exe파일을 언패킹 파일 사이즈가 커진 것을 볼 수 있다. [PEiD.exe] 언패킹이 된 것을 알 수 있다. [virustotal.com] 추측: 바이러스 토탈 ..

01-[Lab01-02.exe_] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드의 시그니처를 판단한다. 주로 Trojan 형태가 많이 나오는 것을 볼 수 있다. Win32를 봐서는 윈도우에서 동작한다는 것을 알 수 있다. Downloader라는 이름을 봐서는 네트워크를 통해서 일을 할 수 있다. 추측: 위와 같이 이 exe파일은 악성코드일 확률이 높다. 2. 패킹이나 난독화의 흔적이 있는가? 이유는? [PEiD.exe] UPX로 패킹이 되어있는 것을 볼 수 있다. [Unpacking UPX] 사이즈가 늘어나고 언패킹이 된 것을 볼 수 있다. [PEiD.exe] 언패킹 한 exe파일을 다시 분석했을 때, EP Section에서 .text로 설정..

"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을 공부하고 작성한 분석 보고서" 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? [Lab01-01.exe] 69개 엔진 중에서 41개가 악성코드로 탐지 -> 악성코드임을 예측할 수 있다. AhnLab-V3, Microsoft, F-Secure 등이 악성코드로 인식 악성코드 이름이 대부분 Trojan, Win32, Heuristic 등으로 설정 예측: Trojan형태는 네트워크 기반의 통신 행위를 한다. 별도로 소프트웨어를 설치하거나 동작할 확률이 높다. 해시 정보가 나와 있다. 이 해시 값을 가지고 변조되었는지 확인할 수 있다. PE32 MS 윈도우 기반으로..