보안위협 (악성코드)/악성코드 분석

VMMap ... 메모리 구조 보기

쿨캣7 2024. 12. 24. 05:15
728x90
반응형

 

* VMMap

 

 

 

https://learn.microsoft.com/ko-kr/sysinternals/downloads/vmmap

 

VMMap - Sysinternals

VMMap은 프로세스 가상 및 실제 메모리 분석 유틸리티입니다.

learn.microsoft.com

 

 

프로세스 익스폴로러는 메모리 구조까지 파악하지 못합니다.

 

 

https://xcoolcat7.tistory.com/1566

 

프로세스 익스플로러 (Process Explorer) .. 악성코드 분석용으로는 글쎄

* 프로세스 익스플로러 (Process Explorer) Process Explorer은 프로세스 상태를 보여주는 프로그램입니다.  . Process Explorerhttps://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer Process Explorer - Sysinternal

xcoolcat7.tistory.com

 

그래서 필요한게 VMMap

 

* 의심스러운 코드를 찾아라 !

 

 

요즘 악성코드는 특정 프로세스에 'Private Data'로 실행(Execute)되는 경우가 많습니다.

따라서, 의심스러운 프로세스에서 실행 가능한 메모리를 찾을 수 있습니다.

 

 

Ctrl + T로 문자열을 볼 수 있습니다.

 

 

하지만, 프로세스 해커 (Process Hacker)는 Process Explorer 와 VMMap 기능을 모두 제공합니다.

 

 

 

 

728x90
반응형