(주 : 도스 프로그램입니다. 최신 윈도우에서는 실행되지 않습니다. 2023년에도 검색해서 방문하는 분이 계셔서 글 남겨 봅니다.)
악성코드 분석 혹은 리버스 엔지니어링의 처음은 헥사 에디터가 아닐까 싶다. 어느 정도 내공(?)이 쌓이면 간단한건 헥사 내용만으로 악성코드 유무를 판단할 수도 있다.
헥사 에디터는 다양한데 이중 도스 실행 파일인 HE(Hexa Editor)를 개인적으로 많이 사용한다. 이 프로그램을 사용하는 이유는 다음과 같다.
1. 특수 코드 표시
대다수의 헥사 에디터는 특수 기호를 표시하지 않는다. (보통 . 으로 표시) 특수 기호가 표시될 경우 암호화 여부등을 쉽게 알 수 있어 특수 코드 표시가 필요하다.
2. 파일 비교
두개 파일 비교 기능이 편하다.
단점이라면 도스 프로그램으로 긴이름이 지원되지 않으며 0 바이트 길이를 가지는 등 일부 파일의 경우 에러가 발생한다.
여담이지만 이 프로그램 제작자는 같은 팀에서 근무하고 있는 모 선임연구원으로 친구와 대학생 시절에 작성한 프로그램인데 회사에 입사 후 이 프로그램이 아직까지(?) 사용하고 있어 놀랬다고 한다. 하지만, 현재 소스 코드는 잃어버려 더이상 업데이트 할 수 없다고 한다.
* 파일 다운로드는 아래에서..
- HE.BAT : 한글 윈도우 도스창에서 HE.COM을 실행하면 글자가 깨진다. 이 경우 영문 모드로 전환(chcp 437)하고 HE.COM을 실행한다. HE.BAT는 PATH가 지정된 (예를들어 C:\Windows)에 복사하고 셸 프로그램에서 HE.BAT를 실행해서 편하게 사용하면 된다.
- HE.COM : 실행 파일
'Reverse Engineering > 분석도구' 카테고리의 다른 글
SysTracer - 시스템 변화 추적 시스템 (1) | 2009.05.31 |
---|---|
헥사 에디터 HIEW (6) | 2009.05.23 |
디버거(Debugger) : Immunity Debugger (0) | 2007.11.16 |
OllyBonE - 상당수 패커를 풀어주는 OllyDbg 플로그인 (2) | 2007.08.22 |
가상 시스템 (0) | 2007.08.20 |