Autoruns Autoruns 는 윈도우가 부팅 후 자동으로 시작되는 서비스 또는 프로그램을 모니터링 할 수 있는 툴입니다. 해당 툴은 보통 악성 코드 분석 시 해당 악성 파일을 실행하기 전 스냅샷을 촬영하고 실행 후 스냅샷을 촬영해 두 개를 비교하는 것으로 사용합니다. 스냅샷을 촬영 후 비교하는 방법 파일 실행 전 좌측 상단 플로피 디스크 버튼을 클릭 해 저장합니다. 분석할 파일을 관리자 권한으로 실행합니다. 아래 와 같이 좌측상단에 File 탭에서 Compare 버튼을 클릭해 이전에 저장한 파일을 불러오게 되면 두 개의 스냅샷을 비교해 프로그램에 어떤 부분이 변경되었는지 확인할 수 있게됩니다.
Process Explorer 모습의 경우 Process Explorer 를 실행을 하였을 때 모습입니다. 현재 실행되고 있는 프로세스들을 관리하고 분석할 수 있는 툴입니다. 현재 실행되는 프로세스를 트리 형식으로 보여주는 것이 특징입니다. 현재 사용되는 시스템의 리소스를 알 수 있고, 실행중인 프로세스의 상세정보를 파악할 수 있습니다. 분석하고 싶은 프로세스를 우클릭하게 될 경우 좌측 사진과 같이 여러 메뉴들이 나오는 것을 확인할 수 있습니다. 좌측 메뉴를 보면 프로세스 종료, 재시작, 정지 기능도 가능하고, Create Dump 를 이용해 덤프파일을 생성해 메모리를 분석하는 등의 작업도 할 수 있을 것으로 보여집니다. 그아래 Properties 라는 메뉴를 볼 수 있는데 말 그대로 ' 속성 ' 이라는..
PEView Windows 용 실행 파일인 PE ( Portable Executable ) 의 구조를 분석할 수 있는 툴입니다. 위 의 경우 체크 한 곳을 유심히 볼 필요가 있습니다. 첫 시작 지점의 4D 5A ( MZ ) 라는 것을 볼 수 있는데 이것은 Signature 또는 매직넘버 라고 불리는 것입니다. 4D 5A 와 같은 매직넘버는 해당 파일의 실제 확장자를 확인할 수 있는 숫자 라고 보시면 될 것 같습니다. 다음 의 경우 MS-DOS Stub Program 이라는 탭에 들어온 모습입니다. 이 탭의 경우 해당 파일이 DOS 모드에서 실행이 되는지 여부를 확인할 수 있는 탭 정도로 확인할 수 있습니다. 의 경우는 IMAGE_NT_HEADERS 탭의 IMAGE_FILE_HEADER 를 들어온 모습의 ..
BinText BinText 는 파일에 포함된 문자열들을 GUI 의 형태로 보여주는 툴 입니다. 해당 툴의 경우 패킹이 된 파일을 스캔할 경우에는 제대로된 정보가 나오지 않기 때문에 언패킹을 꼭 진행한 후에 사용을 해야합니다. BinText 사용법 Bintext 를 실행합니다. 우측 상단 Browse 박스를 클릭해 스캔하고 싶은 파일을 불러온 후 우측에 Go 박스를 클릭합니다. 해당 파일에 포함된 문자열들이 우측 그림과 같이 아래에 나열되게 됩니다. 해당 파일의 문자열을 확인해 해당 파일에 Import 한 DLL 의 정보와 함께 사용된 함수를 확인할 수 있습니다. 네트워크 행위를 하는 파일의 경우에는 해당 파일에 포함된 IP 주소와 URL 정보 등도 확인이 가능할 것으로 보여집니다. Strings Bin..
Exeinfo PE 해당 파일이 어떤 언어로 컴파일이 되었는지, 패킹 여부와 패킹이 되었다면 어떤 툴로 패킹을 하였는지 확인이 가능한 툴 Exeinfo 사용법 좌측 그림에서 우측 상단에 체크된 파일 모양 박스를 클릭해 파일을 불러 올 수 있다. 파일을 스캔하게 되면 우측과 같은 모습을 확인할 수 있음 상단부터 체크된 곳은 알아둬야 할 것 으로 보여집니다. 상단에 스캔한 파일의 이름 Image is 32 bit executable 의 경우 32 bit 로 구동이 된다 라는 것을 알려주는 것 UPX 0.89 - 3.xx 의 경우 ' UPX ' 라는 패킹 툴로 패킹이 된 것을 확인 할 수 있다. unpack "upx.exe -d" from http:// ........... 의 경우 해당 UPX 로 패킹처리 ..
악성코드 샘플 분석 환경 구축 가상 환경을 구성하는 이유 해당 파일 분석을 할 때 해당 파일이 예기치 못하게 실행 될 수 있습니다. 만약 해당 파일이 악성 파일일 경우 대처하기 까다롭기 때문에 가상 환경을 구축하여 샘플 분석을 진행합니다. 가상 머신의 Snapshot 기능을 활용한 원활한 분석이 가능합니다. VMware 가상 환경 구축 VMware workstation Pro 17 버전을 사용하였습니다. VMware 를 설치한 후 Create a New Virtual Machine 을 클릭하게 되면 우측과 같은 화면이 진행됩니다. Typical 또는 Custom 이 있는데 필자의 경우 기본적인 Typical 을 선택해 설치를 진행하였습니다. 위 사진의 경우 Typical 또는 Custom 을 선택 한 후..