- 신종 인플루엔자와 안전 불감증

http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=14439

신고
Posted by mstoned7

댓글을 달아 주세요

다양한 헥사 에디터가 존재하지만 그중 가장 사랑 받는 제품은 단연 HIEW 이다.

- 홈페이지 : http://www.hiew.ru/
- 제작자 : Eugene Suslikov (sen@kemtel.ru)
- 가격 : 1년 64 달러
            평생 199 달러

HIEW로 파일을 읽으면 아래와 텍스트 모드로 나온다.
(설정 파일에서 변경 가능)


엔터를 입력하면 헥사 모드로 변환된다.


다시 엔터를 입력하면 디스어셈블을 볼 수 있다.

push, call, jmp 등의 숫자를 입력하면 해당 주소로 입력하고 백스페이스를 입력하면 다시 돌아온다.


악성코드 분석자 채용에 HIEW와 IDA 사용에 능숙한 사람이 있을만큼 이 프로그램은 널리 사랑받고 있다.



Hiew history:


8.00 ( 29 Jan 2009 )
- ARMv6 disassembler
- "ArmCodeDetection = On/Off" in ini-file
- Xor string (Edit/F8) is back!
- Names shift offset (F12/F6)
- Names export (F12/Shift-F12)
- PE section rva/offset correction (F8-F6-F5/F6)
- FIX: Some disassemblers fixes
- FIX: HEM: no set mode for HEM_RETURN_FILERELOAD


7.61 ( 15 Aug 2008 )
- warning for invalid sections count
- FIX: crash for 'wild' size of import
- FIX(7.50): for ShortImmed=Off 'int 3' shows as 'int 0'
- FIX: no show export for files without field 'Address of ordinals'
- FIX: PE non-standart sections
- "BlockLengthShowAlways = On/Off" in ini-file


7.60 ( 15 May 2008 )
- FIX(7.50): invalid offset for basing
- "ShortImmed = On/Off" in ini-file, Alt-T in code
- Elf64 added
- find/scan percentage added in console title


7.50 ( 29 Jan 2008 )
- name (ShiftF12/F12) for address in hex-, decode modes
- comment (;/F12) for address in hex-, decode modes
- HEM SDK 0.42
- "NamesAutosave = On/Off" in ini-file
- "DllNameInComment = On/Off" in ini-file
- show negative offset for basing
- FIX: input string history has reset for empty string adding
- FIX: PE image size calculation has incorrect for last section virtsize = 0
- FIX: PE overlay calculation more accurate


결국, 개인으로써는 조금 부담스럽지만 199$에 평생 버전 구매했다.
(거의 25만원 덜덜덜 ~ 하지만, 평생 이용으로는 충분할 듯)

카드로 결제했으므로 제작자에게 돈이 완전 입금되기 전에는 Hiew 7.51 을 제공한다. (현재 최신 버전은 8.00)

구매 후에 제작자로부터 직접 암호 해제 키, 등록키를 받는다.
그후 파일을 다운로드받고 암호 해제 프로그램으로 해제하면 HIEW32.EXE가 생성된다.



신고
Posted by mstoned7

댓글을 달아 주세요

  1. CherryLove™ 2009.05.24 14:52 신고  댓글주소  수정/삭제  댓글쓰기

    우아;;; 대단하십니다. ^^;;

  2. Juns 2009.05.25 16:10 신고  댓글주소  수정/삭제  댓글쓰기

    아날로그적 불법복제 방지로, 왠만하면 최신버전의 크랙판이 없는 프로그램이기도 합니다. 기능은 막강하나, 유료 프로그램치고는 설명서가 부실하죠..ㅋㅋ ;

  3. Danney 2011.07.18 15:45 신고  댓글주소  수정/삭제  댓글쓰기

    Hiew Demo 랑 Hiew 정식버전이랑 어떤 기능의 차이 혹은 다른 옵션이 있나요

    • mstoned7 2011.07.18 16:44 신고  댓글주소  수정/삭제

      데모 버전하고 버전 차이가 꽤 납니다. 결정적으로 데모 버전은 특정 길이 이상의 파일은 열 수 없는 걸로 알고 있습니다.


일본은 현재 자국 백신(안티 바이러스) 제품이 없다.
제이드(Jade)사가 맥아피(McAfee)에 인수되면서 맥이 끊어졌다.

- 회사명: 주식회사 포티포티 기술 연구소(Fourteenforty Research Institute, Inc) 줄여서 FFR
- 소재지: 도쿄도 신주쿠구 텐진쵸8 카구라자카 U빌딩
- 설립: 2007년 7월 3일
- 홈페이지 : http://www.fourteenforty.jp
- 사장 : 우카이 유지 (개발자 출신으로 보임)


FFR사는 악성코드를 연구회는 보안 업체이며 백신 전문 업체라기 보다는 보안 업체(70건 이상의 취약점 발견)이다. 기사를 보면 국산(일본) 제품임을 강조하는걸 봐서 자국 제품에 목말라(?)하지 않았나하는 생각을 해본다.

이번에 발표된 제품은 Yarai 2009이다.

제품을 리뷰해보려했지만 아직 트라이얼 버전을 제공하지 않아 실제 제품을 테스트해보지는 못했다.



1. Yarai 2009

1) 주요 특징

- 4개의 휴리스틱 엔진에 의한 다층 방어 

  ZDP엔진: 제로데이 공격 예방 (PDF에서 파일 다운로드 등)
  Static 분석 엔진: PE 해석, 린카 해석, 패커 해석
  Sandbox 엔진: 가상환경에서 실행
  HIPS 엔진: 실시간 모니터링 및 시스템 복원

- 한 달에 한번 정도 휴리스틱 엔진 업데이트

- 일본에서 많이 사용되는 프로그램에 대한 화이트리스트 제공

- 오진 발생시 신속한 업데이트 제공

- 다른 제품과 병행 사용 권장 (시만텍, 트렌드, 맥아피 제품과 연동 검증)


FFR사의 다른 제품 및 서비스

2. Winny Radar for Linux

Winny 네트워크에 대해 파일 발신자의 특정이나 파일의 확산 상황을 파악하는 프로그램으로 기업에서 Winny로 인한 주요 정보 유출로 인해 제작된 것으로 보임

3. Share Radar for Linux

Share 네트워크(역시 P2P 프로그램으로 보임)에 대한 정보 수집 프로그램


4. Prime Analysis

업체에서 요청하는 보안 이슈에 대한 포괄적 리서치 서비스

5. FFR Expert Seminar

리버스엔지니어링, 취약점 분석, 위협 분석 등 교육

6. Origma - Malware Collection System

웹사이트 접속을 통한 악성코드 다운로드로 악성코드를 수집하는 프로그램. 웹사이트를 체크해서 악성코드를 다운로드하는 프로그램으로 보임. 연구기관 및 보안 업체 전용 프로그램

-----------------------------

FFR은 전통적인 시그니처 기반의 백신 프로그램은 아니다. 하지만, 이런 행동기반 제품의 단점으로 나온 사용자가 판단해야하는 문제(절대 다수를 차지하는 초보자들은 사용자 판단이 들어가면 너무 어려움), 화이트리스트 제공(결국 이것도 또 다른 시그니처) 등의 문제를 가지고 있다. 결국 제작자도 밝힌바처럼 FFR은 기존 제품을 대체하는게 아닌 기존 제품과 병행해 사용하는 제품으로 보는게 바람직 하지 않을까 싶다. 하지만, 일본내에서 자체 보안제품 시도가 있다는 점은 눈여겨 볼 만하다. 기회가되면 이쪽 회사 관계자들과도 만나보고 싶다.






 

신고
Posted by mstoned7

댓글을 달아 주세요

  1. Juns 2009.05.26 10:43 신고  댓글주소  수정/삭제  댓글쓰기

    일본의 경우 도전적인 제품 개발 성향이 강한 것 같습니다. 몇 년전인가요? 이와 비슷한 새로운 개념에 제품이 나왔다고 하여, 살펴본 기억이 있는데요, 아직까지는 잠잠하네요.. 이번에 나온 제품은 어떨런지.. 궁금합니다.



티스토리 툴바