쿨캣의 블로그 놀이

RawCap 보통 패킷을 캡처하기 위해 Wireshark를 이용합니다. https://www.wireshark.org/download.html Wireshark • Go Deep | DownloadWireshark: The world's most popular network protocol analyzerwww.wireshark.org 포터블 버전이 있다고 하지만, 간단히 캡쳐할 때 사용할 도구가 필요합니다 RawCap은 윈도우 커맨드라인 네트워크 스니퍼입니다. https://www.netresec.com/?page=RawCap RawCap - A raw socket sniffer for WindowsCan sniff localhost traffic on windowswww.netresec.com

윈도우 프로세스 보는데 프로세스 익스플로러가 널리 사용됩니다. https://xcoolcat7.tistory.com/1566 프로세스 익스플로러 (Process Explorer) .. 악성코드 분석용으로는 글쎄* 프로세스 익스플로러 (Process Explorer) Process Explorer은 프로세스 상태를 보여주는 프로그램입니다. . Process Explorerhttps://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer Process Explorer - Sysinternalxcoolcat7.tistory.com 하지만, 악성코드 찾거나 할 때는 뭔가 살짝 부족합니다. 그때 프로세스 해커 (Process Hacker)를 널리..

위협 (악성코드) 분석을 위한 우분투 nginx 설치입니다. nginx는 가벼운 웹서버입니다.악성코드 테스트 같은 간단한 작업에는 딱입니다. https://nginx.org/ nginxnginx nginx ("engine x") is an HTTP web server, reverse proxy, content cache, load balancer, TCP/UDP proxy server, and mail proxy server. Originally written by Igor Sysoev and distributed under the 2-clause BSD License. Enterprise distributions, commercialnginx.org * 설치 sudo apt install nginx..

VMMap으로 프로세스에 숨겨진 수상한 스레드(코드)를 찾을 수 있습니다. https://xcoolcat7.tistory.com/91343 VMMap ... 메모리 구조 보기* VMMap   https://learn.microsoft.com/ko-kr/sysinternals/downloads/vmmap VMMap - SysinternalsVMMap은 프로세스 가상 및 실제 메모리 분석 유틸리티입니다.learn.microsoft.com  프로세스 익스폴로러는 메모리 구조까지xcoolcat7.tistory.com 하지만, 의심스러운 프로세스를 하나하나 확인할 수도 없고, 이런 과정을 자동으로 해주는 도구는 없을까요 ?  바로, hollows_hunter 입니다. * hollows_hunter    https..

* 프로세스 익스플로러 (Process Explorer) Process Explorer은 프로세스 상태를 보여주는 프로그램입니다.  . Process Explorerhttps://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer Process Explorer - Sysinternals프로세스가 열어 둔 어떤 파일, 레지스트리 키, 기타 개체, 로드한 DLL 등을 찾으세요.learn.microsoft.com    악성코드 분석용은 프로세스 익스플로러보다 프로세스 해커를 더 즐겨 사용합니다.다만,프로세스 해커는 2016년이 마지막 버전입니다. . Process Hackerhttps://processhacker.sourceforge.io/ O..

Autoruns는 자동실행되는 프로그램을 보여줍니다.  https://learn.microsoft.com/ko-kr/sysinternals/downloads/autoruns Windows용 자동 실행 - Sysinternals시스템이 부팅되고 로그인할 때 자동으로 시작되도록 구성된 프로그램을 확인하세요.learn.microsoft.com파일은 아래주소에서 다운로드 받을 수 있습니다. https://download.sysinternals.com/files/Autoruns.zip  * 사용법 32비트는 Autoruns.exe, 64 비트는 Autoruns64.exe를 실행하면됩니다.  의심가는 파일은 '붉은색'으로 표시됩니다.하지만, 업데이트 등으로 파일이 변경될 경우에도 색이 바뀔 수 있어 함부로 삭제하면..

파일을 분석하기 위해서는 파일 종류부터 파악해야 합니다.윈도우 실행 파일 (Portable Executable) 종류도 다양합니다. PE 파일 종류에 따라 분석 방법이 달라질 수도 있어 PE 파일 종류를 파악하는게 중요합니다.  * PEiD PEiD가 가장 유명하지만, 2006년에 마지막 버전이 나온 오래된 프로그램입니다.    최근 PE 파일은 인식하지 못할 수 있습니다.  * Exeinfo PEExeinfo PE 는 PEiD와 비슷합니다.  http://www.exeinfo.byethost18.com/?i=1 로그인 또는 가입하여 보기Facebook에서 게시물, 사진 등을 확인하세요.www.facebook.com   2016년 UI입니다. 2024년 UI도 크게 달라지지는 않았습니다. 마지막 버전이 ..

IDA Pro 디스어셈블 내용을 보면 종종 OPCODE 값이 표시되었으면 합니다.  * 옵션 변경  'Options' -> 'General' -> 'Number of opcode bytes' 를 수정해 주면 됩니다.(초기 0 )  OPCODE 가 표시됩니다.    하지만, 매번 변경하기 귀찮습니다.  * IDA.CFG 설정 변경 매번 OPCODE가 표시하려면 IDA.CFG 파일을 수정하면 됩니다. C:\Program Files\IDA Pro 8.4\cfg\ida.cfg 파일을 열어 OPCODE_BYTES 값을 수정해줍니다.    이 값을 변경해주면 매번 수정할 필요 없습니다.

외부 인터넷과 연결되어 있지 않으면 Adobe Flash 다운로더로 설치 할 수 없습니다.또 Flash 파일을 분석하기 위해서 과거 버전이 필요한 경우가 있습니다. 다음 사이트에서 다운로드 하면 됩니다. https://www.adobe.com/support/flashplayer/debug_downloads.html 다양한 버전은 다음 주소에서 다운로드 받을 수 있습니다. https://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

인터넷을 검색해봐도 IDA를 이용한 원격디버깅 방법을 자세히 설명한게 없어 한번 작성해 봤습니다. 도움되었으면 합니다. ---------------- IDA는 원격 디버깅 기능으로 네트워크가 연결될 경우 다른 OS의 파일을 디버깅 할 수 있다. 하지만, 테스트 결과 Windows IDA로 Mac 실행 파일을 Windows IDA로 디버깅 할 경우 오류가 잦아 Mac IDA로 디버깅 하라는 조언을 받았다. 따라서, Mac의 가상 머신(여기서는 VMware Fusion 이용)에 OS X을 설치하고 원격 디버깅하는 방법을 선택했다. 실제 Mac 1. 실제 Mac 시스템에 IDA Pro 설치 원격 Mac (가상머신) 원격 디버깅 대상이 되는 시스템 (여기서는 VMware Fusion에 OS X 10.7 Lion..

콘솔용 MD5 얻는 프로그램입니다. 사용방법은 md5sum *.* 같이... 하위 폴더 검사 등... 어떤것도 지원하지 않는.. 순수(?) MD5 계산 프로그램입니다. PATH에 넣어두고 콘솔용으로 하면 편합니다.

Virtual PC 2007 SP1 은 마이크로소프트사의 가상 시스템 프로그램입니다. 무료라 악성코드 테스트 시스템에서 주로 이용했죠. 하지만, 최신 시스템 (회사 테스트 컴퓨터와 새로 구매한 집 컴퓨터)에서는 문제를 일으킵니다. 회사 테스트 컴퓨터의 경우 가상머신 창을 닫을 때 오류가 발생하고 집 컴퓨터에서는 사용하다가 가상화 프로그램 자체가 응답 없음이 되어버리더군요. 보다 원활한 작업을 위해서 VMware를 구매했고 테스트를 했는데 역시 상용 제품이 좋네요. 제품에는 Virtual PC의 이미지를 읽을 수 있다고 되어 있지만 제가 사용한 이미지는 읽을 수 없어 다시 윈도우를 설치했습니다. 특히 스냅샷 기능은 참 편리합니다. 하지만, VMware 를 실행 중일 때 Virtual PC 를 실행하면 오류..

오늘 Hiew 제작자로부터 Hiew 8.00 파일과 그 파일을 해제할 수 있는 암호키, 라이센스 키를 받았습니다. Hiew는 구매하고 2달 후(제작자에게 돈이 입금된 후) 최신 버전을 보내줍니다. 8.00 버전은 ARMv6 디스어셈블 기능이 추가된거 외에는 이전 버전하고 크게 달라진건 잘 모르겠네요. * Hiew history: 8.00 ( 29 Jan 2009 ) - ARMv6 disassembler - "ArmCodeDetection = On/Off" in ini-file - Xor string (Edit/F8) is back! - Names shift offset (F12/F6) - Names export (F12/Shift-F12) - PE section rva/offset correction (..

http://www.blueproject.ro/systracer 악성코드를 분석하기 위해서는 변경되는 파일과 레지스트리 등을 모니터링 해야한다. 개별 프로그램을 이용해도되지만 변화를 한꺼번에 보여주는 프로그램이 존재한다. SysTracer 도 그런 프로그램 중 하나이다 SysTracer can scan your system and record information about: changed files and folders modified registry entries system services system drivers applications that are configured to run at computer startup running processes loaded dlls 다만 상용 프로그램이다.

다양한 헥사 에디터가 존재하지만 그중 가장 사랑 받는 제품은 단연 HIEW 이다. - 홈페이지 : http://www.hiew.ru/ - 제작자 : Eugene Suslikov (sen@kemtel.ru) - 가격 : 1년 64 달러 평생 199 달러 HIEW로 파일을 읽으면 아래와 텍스트 모드로 나온다. (설정 파일에서 변경 가능) 엔터를 입력하면 헥사 모드로 변환된다. 다시 엔터를 입력하면 디스어셈블을 볼 수 있다. push, call, jmp 등의 숫자를 입력하면 해당 주소로 입력하고 백스페이스를 입력하면 다시 돌아온다. 악성코드 분석자 채용에 HIEW와 IDA 사용에 능숙한 사람이 있을만큼 이 프로그램은 널리 사랑받고 있다. Hiew history: 8.00 ( 29 Jan 2009 ) - ARM..

(주 : 도스 프로그램입니다. 최신 윈도우에서는 실행되지 않습니다. 2023년에도 검색해서 방문하는 분이 계셔서 글 남겨 봅니다.) 악성코드 분석 혹은 리버스 엔지니어링의 처음은 헥사 에디터가 아닐까 싶다. 어느 정도 내공(?)이 쌓이면 간단한건 헥사 내용만으로 악성코드 유무를 판단할 수도 있다. 헥사 에디터는 다양한데 이중 도스 실행 파일인 HE(Hexa Editor)를 개인적으로 많이 사용한다. 이 프로그램을 사용하는 이유는 다음과 같다. 1. 특수 코드 표시 대다수의 헥사 에디터는 특수 기호를 표시하지 않는다. (보통 . 으로 표시) 특수 기호가 표시될 경우 암호화 여부등을 쉽게 알 수 있어 특수 코드 표시가 필요하다. 2. 파일 비교 두개 파일 비교 기능이 편하다. 단점이라면 도스 프로그램으로 긴..

http://www.immunitysec.com/products-immdbg.shtml OllyDbg를 바탕으로 exploit 와 악성코드 분석에 용의하도록 제작되었다고 한다. 설치를 위해서는 파이썬(Python) 필요하며 윈도우 2000은 서비스 팩이 높아야하는 것으로 보인다. (초기 윈도우 2000 버전으로 테스트 할 때 실행안됨) ---------- Announcing Immunity Debugger v1.0 After almost a year of intensive development and internal use, we are pleased to announce the public release of Immunity Debugger v1.0. When we started developing I..