악성코드 분석 혹은 리버스 엔지니어링의 처음은 헥사 에디터가 아닐까 싶다. 어느 정도 내공(?)이 쌓이면 간단한건 헥사 내용만으로 악성코드 유무를 판단할 수도 있다.

헥사 에디터는 다양한데 이중 도스 실행 파일인 HE(Hexa Editor)를 개인적으로 많이 사용한다. 이 프로그램을 사용하는 이유는 다음과 같다.

1. 특수 코드 표시 

대다수의 헥사 에디터는 특수 기호를 표시하지 않는다. (보통 . 으로 표시) 특수 기호가 표시될 경우 암호화 여부등을 쉽게 알 수 있어 특수 코드 표시가 필요하다.

2. 파일 비교

두개 파일 비교 기능이 편하다.

단점이라면 도스 프로그램으로 긴이름이 지원되지 않으며 0 바이트 길이를 가지는 등 일부 파일의 경우 에러가 발생한다.


HE

HE 실행 화면


여담이지만 이 프로그램 제작자는 같은 팀에서 근무하고 있는 모 선임연구원으로 친구와 대학생 시절에 작성한 프로그램인데 회사에 입사 후 이 프로그램이 아직까지(?) 사용하고 있어 놀랬다고 한다. 하지만, 현재 소스 코드는 잃어버려 더이상 업데이트 할 수 없다고 한다.  

* 파일 다운로드는 아래에서..


- HE.BAT : 한글 윈도우 도스창에서 HE.COM을 실행하면 글자가 깨진다. 이 경우 영문 모드로 전환(chcp 437)하고 HE.COM을 실행한다. HE.BAT는 PATH가 지정된 (예를들어 C:\Windows)에 복사하고 셸 프로그램에서 HE.BAT를 실행해서 편하게 사용하면 된다.

- HE.COM : 실행 파일

Posted by mstoned7

댓글을 달아 주세요

  1. XeroNic(HS) 2009.05.22 17:45 신고  댓글주소  수정/삭제  댓글쓰기

    우와~~+_+ 추억의 24,878 바이트짜리 HE.COM 이군요ㅋ
    한번 써보고 그 막강한 기능(?)에 반했다가..
    Made in KOREA 라는 사실에 더 놀랐던 기억이 납니다..

    윈도우로 넘어오고 수많은 헥사 에디트가 나왔지만...
    개인적으로 Compare 기능은 HE 가 최고였다고 생각합니다.ㅋ

  2. CherryLove™ 2009.05.24 14:54 신고  댓글주소  수정/삭제  댓글쓰기

    HE.COM 파일, 애용하고 있는 툴이랍니다. ^^

  3. Juns 2009.05.25 16:12  댓글주소  수정/삭제  댓글쓰기

    2006년 이후로는, 다른 프로그램으로 갈아타서 잘 쓰지 않았지만, 그 이전에는 hex 볼땐 거의 이 유틸을 사용했지요.., 추억이 새록새록.. 그립다.. dos시절이..

  4. 어머 2011.02.27 16:49  댓글주소  수정/삭제  댓글쓰기

    헉... 이거 메이드 인 코리아 였나요? 예전에 되게 잘썼던 프로그램인데... 어쨌든 감사합니다!

  5. gjcks 2012.11.19 23:51  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 이 프로그램 만드신 분 두 분 성함이라도 알 수 있을까요? 그냥 초보 프로그래머로서 알아두고 싶어서요. 그분께 한 번 전해주시면 감사하겠습니다. 그냥 만든분 성함 정도만 알면 좋을것 같습니다. gjcks.huh@gmail.com