-o-k's story

[Lab01-04.exe_] [output.exe] 1. Virustotal에 업로드하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 추측: Trojan Downloader, Win32가 나오는 데, 봤을 때 trojan이긴 한데 다운로드를 하는 것으로 추측할 수 있다. 생성일자를 보면 2019-08-30으로 나오는 것을 알 수 있다. 맨 처음에 탐지가 된 것을 2011년으로 나온다. 악성코드 샘플에 연결된 도메인 정보가 나온다. 추측: 이 파일이 연결하고 있는 IP 주소가 두 개가 나오는 것을 알 수 있다. 확인된 IP 주소가 아닐 경우 악성코드로 의심할 수 있다. 이 파일은 연관되어있는 실행파일이 하나 더 있다는 것을 볼 수 있다. 두 개의 URL과 Domain이 연결되어있다. 추측..

기초정적분석 설명 참고 https://t-okk.tistory.com/43 [악성코드분석] 기초정적분석01 - 설명 및 도구 기초정적분석 - 프로그램의 기능을 파악하기 위해 코드나 프로그램의 구조를 분석 - 악성코드를 실행하지 않고 분석하는 과정 기초정적분석 방법 - 악성 여부를 판단하는 안티바이러스 도구 사용 - 악성코드 판별.. t-okk.tistory.com 1. PE 파일 포맷 윈도우 실행 파일 포맷: DLL, PE(Portable Executable) PE file header - 코드에 관한 정보를 수집 - 애플리케이션 유형 - 필요한 라이브러리 함수 - 메모리 공간 요구 사항 - exe 파일의 특징 파악 2. 링크 라이브러리와 함수 import 함수 목록 확보: 다른 프로그램에 저장된 라이브..

[기초정적분석] 프로그램의 기능을 파악하기 위해 코드나 프로그램의 구조를 분석 악성코드를 실행하지 않고 분석하는 과정 [기초정적분석 방법] 악성 여부를 판단하는 안티바이러스 도구 사용 악성코드 판별하는 해시 정보 검증 파일의 문자열, 함수, 헤더에서 주요 정보 수집 1. 안티바이러스 스캐닝 악성코드 탐지 - 패턴 매칭 분석(주로 많이 사용): file signatures를 검색하여 찾는 방법 - heuristic: 악성코드를 변조시키거나, 신종을 나오게 하는 방법 tool: virustotal site(https://www.virustotal.com/gui/) 1.1 실습 [notepad.exe] [PracticalMalwareAnalysis-Labs.exe] 2. 해시 정보 검증 해시: 악성/정상 코드..

직접 EXE파일 만들어서 peview.exe로 분석해보기 1. PEtest.exe라는 프로그램 만들기 참고 https://t-okk.tistory.com/32?category=819930 Reversing 실습 - 기본 디버깅 1. 기본 디버깅: 프로그램 시작 주소 및 main 함수 확인 - Hello World!라는 프로그램 만들기 Ollydbg(v1.1)로 열어서 확인 Entry Point(윈도우 실행파일의 코드 시작점): 0040126F - Ollydbg에서 F7, F8, F9를.. t-okk.tistory.com 2. Binary File 2.1 IMAGE_DOS_HEADER winnt.h [IMAGE_DOS_HEADER] 주요 정보 e_magic: 4D 5A(MZ), PE 파일 구조 e_lfan..

윈도우 실행파일(계산기) 분석해보기 calc.exe(ver. Win10) 1.1 IMAGE_DOS_HEADER 대부분의 내용이 0으로 패딩된 것을 볼 수 있다. winnt.h [IMAGE_DOS_HEADER] e_magic(5A4D) - Window System에서는 리틀 엔디안이 사용되기 때문에 역순으로 적혀 있다. - Signature 정보는 MZ(4D 5A)이며 PE 파일 구조를 나타낸다. e_lfanew: (000000F8)IMAGE_NT_HEADER 시작주소 1.2 DOS Stud Code This program cannot be run in DOS mode 실행하지 않아도 정적 분석을 통해서 윈도우에서 실행되는 파일임을 알 수 있다. 1.3 IMAGE_NT_HEADERS 1.3.1 첫번째 si..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Section_Header 실제 실행되는 섹션의 종류 IMAGE_SECTION_HEADER .text .text 섹션 주요 내용 값 멤버 의미 0x747865742E NAME 섹션이름 .text 0x01AE2C Virtual Size 메모리 섹션 크기 정보 0x1000 Virtual Address 메모리 섹션의 시작 주소, RVA Image Base가 0x1이므로 실제주소는 0x1001이 된다. Optional Header의 Base of Code 값과 동일 0x1B000 Size Of Raw Data 파일에서의 섹션 크기 (File Alignment의 배수) 0x400 Pointer To Raw Data 파일에서의 섹션의 시작 위치..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) NT_Header 첫번째 signature : 4byte공간 PE구조 파일 명시 50 45: PE(아스키) 두번째 File_Header 1. Machine(CPU): 0x8664-AMD64 CPU/0x014c-Intel CPU 호환 2. 섹션의 개수: 0x0005 3. Time Data: 0x144CAAC5→340568773 - 계산하는 방법(예): /60=20792156분 35초, /60=346535시간 56분, /24=14438일 23시, /365=39년 203일 - (컴퓨터 기준)1970년 1월 1월 0시 + 39년 203일 23시 35초 = 2009년 7월 13일 23시 56분 35초 4. Pointer To Symbol Ta..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) Notepad.exe [IMAGE_DOS_HEADER] 첫번째 주소(5A4D): 앞에서 4D5A로 표현되어 있는데 이것을 보고 리틀엔디안인지 빅엔디안인지 알 수 있다. Window System에서는 리틀엔디안이 사용되기 때문에 역순으로 적혀있다. 헤더에서 signature 정보(MZ) winnt.h [IMAGE_DOS_HEADER] 단위: WORD(16진수를 4자리씩 끊어서 읽음) IMAGE_DOS_HEADER 내용은 거의 0으로 패딩된 것을 볼 수 있다. 그 중에서 중요한 정보 e_magic - 4D 5A(MZ): PE파일 구조_실제로는 5A 4D로 읽는다. - D0 CF 11 E0(OLE), 50 4B(ZIP), 25 50 44 ..

기초 정적 분석_PE 파일 notepad.exe(ver. Win 10) PE 파일 - 정의: 실행가능한 파일, Win32 기본 파일 형식_윈도우 환경에서 동작이 된다. - 종류: exe, scr, sys, dll, ocx 등 - 프로세스(메모리 상에서 실행되는 형태) = exe + dll - 실행과정 1) PE파일 실행(더블클릭, 커맨드에서 실행) 2) 메모리에 PE 헤더 정보를 매핑 - 실제 프로세스를 위한 메모리 할당, 섹션 정보를 메모리에 복사, Import 정보 처리, 기준 재배치 처리) 3) 실제 프로그램 코드로 분기 - Hex editor 이용(PEview.exe) PEView.exe notepad.exe(ver. Win 10) 프로그램 실행 영역: text 실제 데이터 영역은 SECTION ..