기초 정적 분석 

 

  • 안티 바이러스(Virustotal ) 도구사용      

  • 악성코드 해시 사용  

  • 파일의 문자열(String)으로 파악 

  • PEView 통한 API 검사 

기초 정적 분석 도구 소개 

 

  • Strings.exe (문자열 검색 도구) 

 

악성 도메인으로 이어지는 URL이나 

아이피, 포트번호, 파일을 복사하거나  

삭제할려는 행위를 보이는 파일 경로 

스트링을 주로  

  

 

  • PEView (PE 구조 / 패킹 확인) 

 

  • IMAGE_NT_HEADERS -> 

IMAGE_FILE_HEADER -> 

Time Date Stamp : ???? / ?? / ?? 

파일 생성 날짜를 확인 가능 

  

  • VirusTotal 

 

여러가지의 백신 엔진에서의 해당파일이 

악성파일인지 정상적인 파일인지 확인  

엔진에서의 탐지된 결과를 합하여 보여줌 

URL검사,해시검사도 가능 

 

 

 

  • SECTION .rdata -> 

IMPORT Address Table -> 

해당 파일의 임포트 DLL들을 보여주고 

DLL 안에서 쓰이는 API 목록들을 상세히 보여줌 

  • IMAGE_SECTION_HEADER.txt -> 

Size of Raw Data (원래 데이터 크기) 보다  

Virtual Size (가상 크기)가 월등히 크다면  

가상 크기에 무언가가 덮어 씌운다는 걸 의심 (패킹)  

 

 

'침해사고 & 악성코드 > 분석 도구' 카테고리의 다른 글

Malzilla 1.2.0  (0) 2018.07.24
Browsing History View  (0) 2018.07.24
서비스 형태의 DLL 분석 방법  (0) 2018.02.13
Uboat Rat 악성코드 분석 보고서  (0) 2017.12.06
기초 동적 분석  (0) 2017.07.24
블로그 이미지

_B_G_

,