728x90
반응형

Reverse Engineering/분석도구 14

Adobe Flash 설치판 다운로드 주소

외부 인터넷과 연결되어 있지 않으면 Adobe Flash 다운로더로 설치 할 수 없습니다.또 Flash 파일을 분석하기 위해서 과거 버전이 필요한 경우가 있습니다. 다음 사이트에서 다운로드 하면 됩니다. https://www.adobe.com/support/flashplayer/debug_downloads.html 다양한 버전은 다음 주소에서 다운로드 받을 수 있습니다. https://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

OS X에서 IDA를 이용한 원격 디버깅

인터넷을 검색해봐도 IDA를 이용한 원격디버깅 방법을 자세히 설명한게 없어 한번 작성해 봤습니다. 도움되었으면 합니다. ---------------- IDA는 원격 디버깅 기능으로 네트워크가 연결될 경우 다른 OS의 파일을 디버깅 할 수 있다. 하지만, 테스트 결과 Windows IDA로 Mac 실행 파일을 Windows IDA로 디버깅 할 경우 오류가 잦아 Mac IDA로 디버깅 하라는 조언을 받았다. 따라서, Mac의 가상 머신(여기서는 VMware Fusion 이용)에 OS X을 설치하고 원격 디버깅하는 방법을 선택했다. 실제 Mac 1. 실제 Mac 시스템에 IDA Pro 설치 원격 Mac (가상머신) 원격 디버깅 대상이 되는 시스템 (여기서는 VMware Fusion에 OS X 10.7 Lion..

가상화 프로그램 Virtual PC vs VMware

Virtual PC 2007 SP1 은 마이크로소프트사의 가상 시스템 프로그램입니다. 무료라 악성코드 테스트 시스템에서 주로 이용했죠. 하지만, 최신 시스템 (회사 테스트 컴퓨터와 새로 구매한 집 컴퓨터)에서는 문제를 일으킵니다. 회사 테스트 컴퓨터의 경우 가상머신 창을 닫을 때 오류가 발생하고 집 컴퓨터에서는 사용하다가 가상화 프로그램 자체가 응답 없음이 되어버리더군요. 보다 원활한 작업을 위해서 VMware를 구매했고 테스트를 했는데 역시 상용 제품이 좋네요. 제품에는 Virtual PC의 이미지를 읽을 수 있다고 되어 있지만 제가 사용한 이미지는 읽을 수 없어 다시 윈도우를 설치했습니다. 특히 스냅샷 기능은 참 편리합니다. 하지만, VMware 를 실행 중일 때 Virtual PC 를 실행하면 오류..

헥사에디터 : Hiew 8.00

오늘 Hiew 제작자로부터 Hiew 8.00 파일과 그 파일을 해제할 수 있는 암호키, 라이센스 키를 받았습니다. Hiew는 구매하고 2달 후(제작자에게 돈이 입금된 후) 최신 버전을 보내줍니다. 8.00 버전은 ARMv6 디스어셈블 기능이 추가된거 외에는 이전 버전하고 크게 달라진건 잘 모르겠네요. * Hiew history: 8.00 ( 29 Jan 2009 ) - ARMv6 disassembler - "ArmCodeDetection = On/Off" in ini-file - Xor string (Edit/F8) is back! - Names shift offset (F12/F6) - Names export (F12/Shift-F12) - PE section rva/offset correction (..

SysTracer - 시스템 변화 추적 시스템

http://www.blueproject.ro/systracer 악성코드를 분석하기 위해서는 변경되는 파일과 레지스트리 등을 모니터링 해야한다. 개별 프로그램을 이용해도되지만 변화를 한꺼번에 보여주는 프로그램이 존재한다. SysTracer 도 그런 프로그램 중 하나이다 SysTracer can scan your system and record information about: changed files and folders modified registry entries system services system drivers applications that are configured to run at computer startup running processes loaded dlls 다만 상용 프로그램이다.

헥사 에디터 HIEW

다양한 헥사 에디터가 존재하지만 그중 가장 사랑 받는 제품은 단연 HIEW 이다. - 홈페이지 : http://www.hiew.ru/ - 제작자 : Eugene Suslikov (sen@kemtel.ru) - 가격 : 1년 64 달러 평생 199 달러 HIEW로 파일을 읽으면 아래와 텍스트 모드로 나온다. (설정 파일에서 변경 가능) 엔터를 입력하면 헥사 모드로 변환된다. 다시 엔터를 입력하면 디스어셈블을 볼 수 있다. push, call, jmp 등의 숫자를 입력하면 해당 주소로 입력하고 백스페이스를 입력하면 다시 돌아온다. 악성코드 분석자 채용에 HIEW와 IDA 사용에 능숙한 사람이 있을만큼 이 프로그램은 널리 사랑받고 있다. Hiew history: 8.00 ( 29 Jan 2009 ) - ARM..

헥사 에디터 : HE (도스)

(주 : 도스 프로그램입니다. 최신 윈도우에서는 실행되지 않습니다. 2023년에도 검색해서 방문하는 분이 계셔서 글 남겨 봅니다.) 악성코드 분석 혹은 리버스 엔지니어링의 처음은 헥사 에디터가 아닐까 싶다. 어느 정도 내공(?)이 쌓이면 간단한건 헥사 내용만으로 악성코드 유무를 판단할 수도 있다. 헥사 에디터는 다양한데 이중 도스 실행 파일인 HE(Hexa Editor)를 개인적으로 많이 사용한다. 이 프로그램을 사용하는 이유는 다음과 같다. 1. 특수 코드 표시 대다수의 헥사 에디터는 특수 기호를 표시하지 않는다. (보통 . 으로 표시) 특수 기호가 표시될 경우 암호화 여부등을 쉽게 알 수 있어 특수 코드 표시가 필요하다. 2. 파일 비교 두개 파일 비교 기능이 편하다. 단점이라면 도스 프로그램으로 긴..

디버거(Debugger) : Immunity Debugger

http://www.immunitysec.com/products-immdbg.shtml OllyDbg를 바탕으로 exploit 와 악성코드 분석에 용의하도록 제작되었다고 한다. 설치를 위해서는 파이썬(Python) 필요하며 윈도우 2000은 서비스 팩이 높아야하는 것으로 보인다. (초기 윈도우 2000 버전으로 테스트 할 때 실행안됨) ---------- Announcing Immunity Debugger v1.0 After almost a year of intensive development and internal use, we are pleased to announce the public release of Immunity Debugger v1.0. When we started developing I..

OllyBonE - 상당수 패커를 풀어주는 OllyDbg 플로그인

OllyBonE 는 패커를 손쉽게 풀어주는 툴 중 하나입니다. 2006년 블랙햇에서 소개되었다고 합니다. http://www.joestewart.org/ollybone/ 플러그인을 설치하면 OllyDbg 의 Plugins 에 OllyBonE 가 추가되고 메모리 맵 (Memory map)의 섹션에서 오른쪽 마우스 버튼을 누르면 Set break-on-execute 가 보입니다. 이 메뉴를 통해 코드를 수행하면 상당수 패커를 풀 고 OEP를 찾을 수 있습니다. [주의] 블루스크린 뜨면 DEP 를 끄라고 하는군요. Control Panel->System->Advanced->Performance->Settings->Data Execution Prevention.

가상 시스템

가상 시스템 중 가장 많이 사용되는 프로그램이 VMWare 이다. http://www.vmware.com 마이크로소프트사에서 인수하여 현재 무료로 사용할 수 있는 Virtual PC 도 있다. http://www.microsoft.com/windows/products/winfamily/virtualpc/default.mspx 하지만, 가상 시스템을 이용한 분석에는 다음과 같은 문제가 있다. 1. 가상 환경에서 프로그램이 실행 안될 수 있다. 일반적인 프로그램이라면 상관없지만 일부 패커는 가상 환경에서는 오동작 할 수 있다. 2. 가상 환경에서 악성코드가 제대로 실행되지 않을 수 있다. 최근에 악성코드는 가상환경을 인식해 가상 환경에서는 오동작하거나 실행되지 않는 경우가 있다. 악성코드 제작자들도 바보는 ..

728x90
반응형