728x90
반응형

Reverse Engineering/악성코드 분석 방법 3

IDA 디컴파일러에서 Decompilation failure 될 때

IDA 디컴파일러(F5)로 디컴파일 하다보면 가끔 스택 문제도 실패하는 경우가 있습니다. 'Decompilation failure: xxxxxx: positive sp value has been found" 오류가 발생한 주소 앞 (여기서는 0x401018)으로 가서 [Alt + K] 로 Chage SP value 를 실행합니다. 이 값을 Current SP value 와 맞춰주면 됩니다. 다시 F5로 디컴파일 해보면 디컴파일된 내용이 나옵니다.

키로거 분석

* 키로거 키로거(Keylogger)는 키입력 내용을 기록하는 프로그램이다. 키로거가 기업에서 직원이나 부모가 아이들을 모니터링하기 위해 사용되지만 누군가 개인 사생활을 파악하기 위해서 악용되기도 한다. * 후킹 흔히 사용되는 키로깅 방식은 윈도우 API인 SetWindowsHookEx를 이용한 글로벌 메시지 훅과 드라이버를 이용한 키보드 후킹이 있다. SetWindowsHookEx( Int idHook, // 훅 종류 HOOKPROC lpfn, // 지정한 이벤트 발생시 처리하는 프로시저 주소 HINSTANCE hMod, // lpfn이 있는 DLL 의 시작 첫주소 DWORD dwTreadID // Thread ID }; idHook 에 해당하는 내용은 다음과 같으며 악성코드는 보통 02(키보드), 0..

정적분석과 동적분석

악성코드 분석 방법에는 크게 정적분석과 동적분석이 있다. * 정적분석(Static Analysis) 샘플 실행하지 않고 분석. 타백신 실행하기, 내부 스트링보기, 단순 디스어셈블(?) * 동적분석(Dynamic Analysis) 샘플 실행하면서 분석 모니터링 프로그램(윈도우 악성코드의 경우 파일, 프로세스, 레지스트리, 네트워크) * 코드분석 디스어셈블, 디버거, 리버스 컴파일러 초급, 중급, 고급은 바로 정적분석, 동적분석과 코드분석 실력의 차이

728x90
반응형