![]()
Autoruns Autoruns 는 윈도우가 부팅 후 자동으로 시작되는 서비스 또는 프로그램을 모니터링 할 수 있는 툴입니다. 해당 툴은 보통 악성 코드 분석 시 해당 악성 파일을 실행하기 전 스냅샷을 촬영하고 실행 후 스냅샷을 촬영해 두 개를 비교하는 것으로 사용합니다. 스냅샷을 촬영 후 비교하는 방법 파일 실행 전 좌측 상단 플로피 디스크 버튼을 클릭 해 저장합니다. 분석할 파일을 관리자 권한으로 실행합니다. 아래 와 같이 좌측상단에 File 탭에서 Compare 버튼을 클릭해 이전에 저장한 파일을 불러오게 되면 두 개의 스냅샷을 비교해 프로그램에 어떤 부분이 변경되었는지 확인할 수 있게됩니다.
![]()
Process Explorer 모습의 경우 Process Explorer 를 실행을 하였을 때 모습입니다. 현재 실행되고 있는 프로세스들을 관리하고 분석할 수 있는 툴입니다. 현재 실행되는 프로세스를 트리 형식으로 보여주는 것이 특징입니다. 현재 사용되는 시스템의 리소스를 알 수 있고, 실행중인 프로세스의 상세정보를 파악할 수 있습니다. 분석하고 싶은 프로세스를 우클릭하게 될 경우 좌측 사진과 같이 여러 메뉴들이 나오는 것을 확인할 수 있습니다. 좌측 메뉴를 보면 프로세스 종료, 재시작, 정지 기능도 가능하고, Create Dump 를 이용해 덤프파일을 생성해 메모리를 분석하는 등의 작업도 할 수 있을 것으로 보여집니다. 그아래 Properties 라는 메뉴를 볼 수 있는데 말 그대로 ' 속성 ' 이라는..
![]()
PEView Windows 용 실행 파일인 PE ( Portable Executable ) 의 구조를 분석할 수 있는 툴입니다. 위 의 경우 체크 한 곳을 유심히 볼 필요가 있습니다. 첫 시작 지점의 4D 5A ( MZ ) 라는 것을 볼 수 있는데 이것은 Signature 또는 매직넘버 라고 불리는 것입니다. 4D 5A 와 같은 매직넘버는 해당 파일의 실제 확장자를 확인할 수 있는 숫자 라고 보시면 될 것 같습니다. 다음 의 경우 MS-DOS Stub Program 이라는 탭에 들어온 모습입니다. 이 탭의 경우 해당 파일이 DOS 모드에서 실행이 되는지 여부를 확인할 수 있는 탭 정도로 확인할 수 있습니다. 의 경우는 IMAGE_NT_HEADERS 탭의 IMAGE_FILE_HEADER 를 들어온 모습의 ..
![]()
BinText BinText 는 파일에 포함된 문자열들을 GUI 의 형태로 보여주는 툴 입니다. 해당 툴의 경우 패킹이 된 파일을 스캔할 경우에는 제대로된 정보가 나오지 않기 때문에 언패킹을 꼭 진행한 후에 사용을 해야합니다. BinText 사용법 Bintext 를 실행합니다. 우측 상단 Browse 박스를 클릭해 스캔하고 싶은 파일을 불러온 후 우측에 Go 박스를 클릭합니다. 해당 파일에 포함된 문자열들이 우측 그림과 같이 아래에 나열되게 됩니다. 해당 파일의 문자열을 확인해 해당 파일에 Import 한 DLL 의 정보와 함께 사용된 함수를 확인할 수 있습니다. 네트워크 행위를 하는 파일의 경우에는 해당 파일에 포함된 IP 주소와 URL 정보 등도 확인이 가능할 것으로 보여집니다. Strings Bin..
![]()
Exeinfo PE 해당 파일이 어떤 언어로 컴파일이 되었는지, 패킹 여부와 패킹이 되었다면 어떤 툴로 패킹을 하였는지 확인이 가능한 툴 Exeinfo 사용법 좌측 그림에서 우측 상단에 체크된 파일 모양 박스를 클릭해 파일을 불러 올 수 있다. 파일을 스캔하게 되면 우측과 같은 모습을 확인할 수 있음 상단부터 체크된 곳은 알아둬야 할 것 으로 보여집니다. 상단에 스캔한 파일의 이름 Image is 32 bit executable 의 경우 32 bit 로 구동이 된다 라는 것을 알려주는 것 UPX 0.89 - 3.xx 의 경우 ' UPX ' 라는 패킹 툴로 패킹이 된 것을 확인 할 수 있다. unpack "upx.exe -d" from http:// ........... 의 경우 해당 UPX 로 패킹처리 ..
