태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
분석도구2015. 6. 8. 19:00

분석가들 교재




http://download.adamas.ai/dlbase/ebooks/VX_related/The%20Art%20of%20Computer%20Virus%20Research%20and%20Defense.pdf


악성코드, 그리고 분석가들 (17,000원)

http://www.yes24.com/24/goods/4676600?scode=032&OzSrank=8




첫 번째 이야기 인생시계 

두 번째 이야기 이직=작은 기적 

세 번째 이야기 5개월 간의 도스 교육 


가상인터뷰, 엔진 


네 번째 이야기 무림강호의 세계 1-Bagle(1부) 

다섯 번째 이야기 무림강호의 세계 1-Bagle(2부) 

여섯 번째 이야기 인증과 뼈아픈 오진 


가상인터뷰, 오진 


일곱 번째 이야기 분석팀 5형제와 64비트 바이러스 

여덟 번째 이야기 Bot과 Packer와의 전쟁 


가상인터뷰, Packer 


아홉 번째 이야기 교육생과 교육자 

열 번째 이야기 I'm ready to analyze polymorphic viruses(1부) 

열한 번째 이야기 I'm ready to analyze polymorphic viruses(2부) 

열두 번째 이야기 중복감염의 무서움-VIKING 

열세 번째 이야기 네버엔딩스토리-GameHack 

열네 번째 이야기 시스템 파일을 보호하라! (1부) 

열다섯 번째 이야기 시스템 파일을 보호하라! (2부) 

열여섯 번째 이야기 무림강호의 세계 2-Rustock 


가상인터뷰, 분석 시스템 


열일곱 번째 이야기 Virut! 그 끈질긴 악연 

열여덟 번째 이야기 시스템 무력화! 아직 끝나지 않았다 

열아홉 번째 이야기 의심파일을 찾아라! 

스무 번째 이야기 Gen 함수와 DownSizing 

스물한 번째 이야기 무림강호의 세계 3-MBRRootkit 


가상인터뷰, 가상화 


스물두 번째 이야기 중국 분석센터를 세워라!-적응편 

스물세 번째 이야기 중국 분석센터를 세워라!-에피소드편 

스물네 번째 이야기 중국 분석센터를 세워라!-분석편 

스물다섯 번째 이야기 메모리를 확인하라!-스팸메일러 

스물여섯 번째 이야기 7.7 DDoS 대란 

부록: 팀원들이 분석한 내용 


스물일곱 번째 이야기 이번엔 소스코드다!-Induc 

스물여덟 번째 이야기 무림강호의 세계 4-TDL3(1부) 


가상인터뷰, 분석가 


스물아홉 번째 이야기 무림강호의 세계 4-TDL3(2부) 


에필로그 


감사의 글 


2003~2009 악성코드 연대기


악성코드와 멀웨어 포렌식 (40,000원)

http://www.yes24.com/24/goods/7663340?scode=032&OzSrank=1





01장 멀웨어 사고 대응: 동작 중인 윈도우 시스템에서 휘발성 자료 수집과 검사

개요

실시간 대응 툴킷 제작

휘발성 자료 수집 방법

프로세스 정보 수집

열린 포트를 동작 중인 프로세스나 프로그램과 관련짓기

서비스와 드라이버 파악

스케줄이 걸린 작업 파악

클립보드 내용 수집

동작 중인 윈도우 시스템에서 비휘발성 자료 수집

동작 중인 윈도우 시스템에서 포렌식용 저장소 매체 복제

동작 중인 윈도우 시스템에서 포렌식용 관련 자료 보존

윈도우용 사고 대응 도구 스위트

정리

참고 자료


02장 멀웨어 사고 대응: 동작 중인 리눅스 시스템에서 휘발성 자료 수집과 검사

개요

휘발성 자료 수집 방법

동작 중인 리눅스 시스템에서 비휘발성 자료 수집

정리


03장 메모리 포렌식: 멀웨어 관련 증거물에 대한 물리적 메모리 덤프와 프로세스 메모리 덤프 분석

개요

메모리 포렌식 방법론

구식 메모리 분석 기법

윈도우 메모리 포렌식 도구

활성, 비활성, 은닉 프로세스

윈도우 메모리 포렌식 도구의 동작 원리

동작 중인 윈도우 시스템에서 프로세스 메모리 덤프와 분석

프로세스 캡처와 메모리 분석

리눅스 메모리 포렌식 도구

리눅스 메모리 포렌식 도구의 동작 원리

리눅스 시스템에서 프로세스 메모리 덤프와 분석

프로세스 메모리 캡처와 검사

정리

참고 자료


04장 사후 분석 포렌식: 윈도우 시스템에서 멀웨어 관련 증거물 발견과 추출

개요

보안에 문제가 생긴 윈도우 시스템을 포렌식 기법으로 검사

기능 분석: 윈도우 컴퓨터 복원

윈도우 시스템에서 멀웨어 발견과 추출

서비스, 드라이버 자동 실행 위치, 예약 작업 검사

윈도우 시스템에서 멀웨어 발견과 추출을 위한 고급 기법

정리


05장 사후 분석 포렌식: 리눅스 시스템에서 멀웨어 관련 증거물 발견과 추출

개요

리눅스 시스템에서 멀웨어 발견과 추출

정리


06장 법적인 고려 사항

개요

쟁점 형성

조사 권한의 근원

권한의 법적 제약

자료 수집을 위한 도구

국경을 넘는 자료 수집

법 집행 참여

증거 채택 가능성 높이기

참고 자료


07장 파일 식별과 프로파일링: 윈도우 시스템에서 의심스런 파일의 초기 분석

개요

사례 연구: 화끈한 새 비디오!

파일 프로파일링 과정 개괄

실행 파일을 대상으로 작업

파일 유사성 지수 비교

파일 시그니처 파악과 분류

심볼과 디버그 정보

파일 난독화: 패킹과 암호화 파악

내부에 숨겨진 증거물을 다시 추출

정리

참고 자료


08장 파일 식별과 프로파일링: 리눅스 시스템에서 의심스런 파일의 초기 분석

개요

파일 프로파일링 과정 개괄

리눅스 실행 파일을 대상으로 작업

파일 시그니처 파악과 분류

내부에 숨겨진 증거물 추출: 문자열, 심볼 정보, 파일 메타데이터

파일 난독화: 패킹과 암호화 신원 확인

내부에 숨겨진 증거물을 다시 추출

ELF 파일 구조

정리

참고 자료


09장 의심스런 프로그램 분석: 윈도우

개요

목표

악성 실행 프로그램을 검사하는 지침

환경 기준 수립

실행 전 준비: 시스템과 네트워크 감시

시스템과 네트워크 감시: 파일 시스템, 프로세스, 네트워크, API 활동

내부에 숨겨진 증거물을 다시 보기

악성코드 기능/목적 탐구와 검증

사건 재구성과 증거물 검토: 파일 시스템, 레지스트리, 프로세스, 네트워크 활동 사후 자료 분석

정리


10장 의심스런 프로그램 분석: 리눅스

개요

분석 목표

실행 전 준비: 시스템과 네트워크 감시

난독화 해독: 멀웨어에서 방어막 제거

공격 기능 검토와 비교

추가적인 기능과 위협 범위 평가

다른 고려 사항

정리

참고 자료


악성코드 분석가의 비법서 (45,000원)

http://www.yes24.com/24/goods/6996136?scode=032&OzSrank=9




1 행동 익명화

___오니온 라우터(토르)

______비법 1-1 | 토르를 이용한 익명 브라우징

___토르를 이용한 악성코드 연구

______비법 1-2 | wget과 네트워크 클라이언트에 Torsocks 이용

______비법 1-3 | 파이썬으로 작성한 멀티플랫폼에서 토르 활성 다운로더

___토르의 단점

___프록시 서버와 프로토콜

______비법 1-4 | 무료 프록시를 통한 트래픽 포워딩

______비법 1-5 | 프록시 연결에 SSH 터널 사용

______비법 1-6 | Privoxy로 향상된 프라이버시를 지원하는 웹브라우징

___웹 기반 익명기

______비법 1-7 | Anonymouse.org 사이트를 이용한 익명 브라우징

___익명성을 보장받는 대안

___무선 전화 인터넷 연결

______비법 1-8 | 무선 전화 네트워크를 통한 인터넷 접속

___가상 사설망

______비법 1-9 | Anonymizer Universal을 통한 VPN 사용

___접속 식별과 흔적 남기지 않기


2 허니팟

___nepenthes 허니팟

______비법 2-1 | nepenthes를 이용한 악성코드 샘플 수집

______비법 2-2 | IRC 로깅을 통한 실시간 공격 감시

______비법 2-3 | 파이썬으로 HTTP를 통한 nepenthes 전송 수용

___Dionaea 허니팟으로 작업

______비법 2-4 | dionaea을 통한 악성코드 샘플 수집

______비법 2-5 | 파이썬을 이용한 HTTP 전송

______비법 2-6 | XMPP를 통한 실시간 이벤트 통지와 바이너리 공유

______비법 2-7 | dionea로 로깅한 공격 분석과 재현

______비법 2-8 | p0f를 이용한 원격 시스템 수동 식별

______비법 2-9 | sqlite와 gnuplot로 dionaea 공격 패턴 그래프 작성


3 악성코드 분류

___ClamAV를 활용한 분류

______비법 3-1 | 기존 ClamAV 시그니처 검사

______비법 3-2 | 개별 ClamAV 데이터베이스 생성

___YARA를 통한 분류

______비법 3-3 | ClamAV 시그니처를 YARA로 변환하는 방법

______비법 3-4 | YARA와 PEiD를 사용한 패커 식별법

______비법 3-5 | YARA를 이용한 악성코드 탐지

___도구 전체 통합

______비법 3-6 | 파이썬을 이용한 파일 타입 식별과 해시

______비법 3-7 | 파이썬으로 다중 AV 스캐너 사용

______비법 3-8 | 파이썬을 이용한 악성 PE 파일 탐지

______비법 3-9 | ssdeep을 이용한 유사 악성코드 검색

______비법 3-10 | ssdeep을 이용한 자가 변환 코드 탐지

______비법 3-11 | IDA와 BinDiff를 이용한 바이너리 비교


4 샌드박스와 다중 AV 스캐너

___공개 안티바이러스 스캐너

______비법 4-1 | VirusTotal을 이용한 파일 스캔

______비법 4-2 | Jotti를 이용한 파일 스캔

______비법 4-3 | NoVirusThanks를 이용한 파일 스캔

______비법 4-4 | 파이썬을 이용한 데이터베이스 지원 Multi-AV 업로더

___다중 안티바이러스 스캐너 비교

___공개 샌드박스를 이용한 분석

______비법 4-5 | ThreatExpert를 이용한 악성코드 분석

______비법 4-6 | CWsandbox를 이용한 악성코드 분석

______비법 4-7 | Anubis를 이용한 악성코드 분석

______비법 4-8 | Joebox용 AutoIT 스크립트 작성

______비법 4-9 | Joebox를 이용한 경로 기반 악성코드 정복

______비법 4-10 | Joebox를 이용한 프로세스 기반 악성코드 정복

______비법 4-11 | Joebox를 이용한 액티브 HTTP 프록시 설정

______비법 4-12 | 샌드박스 결과를 이용한 감염 흔적 스캐닝


5 도메인과 IP 주소 조사

___의심스러운 도메인 조사

______비법 5-1 | WHOIS를 이용해 도메인 조사

______비법 5-2 | DNS 호스트명 풀이

___IP 주소 조사

______비법 5-3 | IP WHOIS 레코드 얻기

___Passive DNS와 기타 도구로 조사

______비법 5-4 | BFK에서 Passive DNS 질의

______비법 5-5 | Robtex를 이용해 DNS 레코드 점검

______비법 5-6 | DomainTools를 이용한 IP 역검색 수행

______비법 5-7 | dig을 이용한 존 트랜스퍼 수행

______비법 5-8 | DNSMAP을 이용한 하위 도메인 무차별 대입

______비법 5-9 | 섀도우서버를 이용해 IP 주소로 ASN 매핑

______비법 5-10 | RBLs를 이용한 IP 평판 점검

___패스트 플럭스 도메인

______비법 5-11 | Passive DNS와 TTL을 이용한 패스트 플럭스 탐지

______비법 5-12 | 패스트 플럭스 도메인 추적

___지리 정보 매핑 IP 주소

______비법 5-13 | MaxMind, Matplotlib, Pygeoip를 이용한 고정 지도

______비법 5-14 | 구글 Charts API를 이용한 동적 맵


6 문서, 셸코드, URL

___자바스크립트 분석

______비법 6-1 | SpiderMonkey로 자바스크립트 분석

______비법 6-2 | Jsunpack을 이용한 자바스크립트 디코딩 자동화

______비법 6-3 | 스피드와 완벽성을 위한 Jsunpack-n 디코딩 최적화

______비법 6-4 | 브라우저 DOM 요소를 에뮬레이션한 익스플로잇 실행

___PDF 문서 분석

______비법 6-5 | pdf.py를 이용해 pdf 파일에서 자바스크립트 추출

______비법 6-6 | PDF 소프트웨어 버전을 속여 익스플로잇 실행

______비법 6-7 | Didier Stevens의 PDF 도구 사용

______비법 6-8 | PDF가 어떤 취약점을 사용하는지 찾기

______비법 6-9 | DiStorm을 이용한 셸코드 디스어셈블링

______비법 6-10 | libemu를 이용한 셸코드 에뮬레이팅

___악의적인 오피스 문서 분석

______비법 6-11 | OfficeMalScanner로 마이크로소프트 파일 분석

______비법 6-12 | DisVew와 MalHost-Setup으로 오피스 셸코드 디버깅

___네트워크 트래픽 분석

______비법 6-13 | Jsunpack으로 패킷 캡처에서 HTTP 파일 추출

______비법 6-14 | Jsunpack을 이용한 URI 관계 그래프 작성


7 악성코드 연구실

___네트워킹

______비법 7-1 | 연구실에서 TCP/IP 연결 라우팅

______비법 7-2 | 네트워크 트래픽 캡처와 분석

______비법 7-3 | INetSim을 이용한 인터넷 시뮬레이션

______비법 7-4 | Burp Suite을 이용한 HTTP/HTTPS 조작

___물리 표적

______비법 7-5 | 조 스테워트의 Truman 사용

______비법 7-6 | Deep Freeze를 이용해 물리 시스템 유지

______비법 7-7 | FOG를 이용한 디스크 복제와 이미징

______비법 7-8 | MySQL 데이터베이스를 이용해 FOG 작업 자동화


8 자동화

___분석 사이클

___파이썬을 이용한 자동화

______비법 8-1 | VirtualBox를 이용한 자동화된 악성코드 분석

______비법 8-2 | VirtualBox 디스크와 메모리 이미지 다루기

______비법 8-3 | VMware를 이용한 자동화된 악성코드 분석

___분석 모듈 추가

______비법 8-4 | 파이썬에서 TShark을 이용해 패킷 캡처

______비법 8-5 | 파이썬에서 INetSim을 이용해 네트워크 로그 수집

______비법 8-6 | Volatility를 이용한 메모리 덤프 분석

______비법 8-7 | 모든 샌드박스 조각을 함께 모으기

___기타 시스템

______비법 8-8 | ZeroWine과 QEMU를 이용한 자동화된 분석

______비법 8-9 | Sandboxie와 Buster를 이용한 자동화된 분석


9 동적 분석

______비법 9-1 | Process Monitor를 이용한 API 호출 로깅

______비법 9-2 | Regshot으로 변화 탐지

______비법 9-3 | 파일 시스템 변화 알림

______비법 9-4 | 레지스트리 변화 알림

______비법 9-5 | 테이블 디핑

______비법 9-6 | HandleDiff를 이용한 코드 인젝션

______비법 9-7 | 윈도우 파일 보호 기능을 해제하는 Bankpatch.C

___API 감시/후킹

______비법 9-8 | 마이크로소프트 Detours로 API 모니터 빌드

______비법 9-9 | API 모니터를 이용한 자식 프로세스 따라가기

______비법 9-10 | 프로세스, 스레드, 이미지 로드 이벤트 캡처

___데이터 보존

______비법 9-11 | 프로세스의 종료 방지

______비법 9-12 | 악성코드의 파일 삭제 차단

______비법 9-13 | 드라이버 로딩 차단

______비법 9-14 | 데이터 보존 모듈 사용

______비법 9-15 | ReactOS로 사용자 정의 커맨드 셸 생성


10 악성코드 포렌식

___슬루스 킷

______비법 10-1 | TSK를 이용한 변경 데이터 조사

______비법 10-2 | TSK를 사용해 은닉 파일과 디렉터리 탐지

______비법 10-3 | 마이크로소프트 오프라인 API를 이용한 은닉 레지스트리 데이터 찾기

___포렌식/사고 대응 수집 기법

______비법 10-4 | Poison Ivy의 잠금 파일 우회

______비법 10-5 | Conficker의 파일 시스템 ACL 제한 우회

______비법 10-6 | GMER를 이용한 rootkits 스캐닝

______비법 10-7 | IE의 DOM을 점검해 HTML 인젝션 공격 탐지 

___레지스트리 분석

______비법 10-8 | RegRipper 플러그인을 이용한 레지스트리 포렌식

______비법 10-9 | 가짜 PKI 인증서 설치 탐지

______비법 10-10 | 레지스트리 내 악성코드 데이터 흔적 조사


11 악성코드 디버깅

___디버거를 이용한 작업

______비법 11-1 | 프로세스 열기와 연결

______비법 11-2 | 셸코드 분석용 JIT 디버거 설정

______비법 11-3 | 디버거 GUI에 익숙해지기

______비법 11-4 | 프로세스 메모리와 자원 탐색

______비법 11-5 | 프로그램 실행 제어

______비법 11-6 | 중단점 설정과 중단점 잡기

______비법 11-7 | 조건부 로그 중단점 이용

___Immunity 디버거의 파이썬 API

______비법 11-8 | 파이썬 스크립트와 PyCommands를 이용한 디버깅

______비법 11-9 | 바이너리 파일에서 셸코드 탐지

______비법 11-10 | SILENTBANKER'S API 후킹 조사

___WinAppDbg 파이썬 디버거

______비법 11-11 | WinAppDbg 도구를 이용한 프로세스 메모리 조작

______비법 11-12 | WINAPPDBG를 이용한 파이썬 API 모니터 설계


12 역난독화

___공통 알고리즘 디코딩

______비법 12-1 | 파이썬을 이용한 XOR 알고리즘 리버스 엔지니어링

______비법 12-2 | yaratize를 이용해 XOR로 인코딩된 데이터 탐지

______비법 12-3 | 특수 문자를 이용한 base64 디코딩

___복호화

______비법 12-4 | 캡처된 패킷에서 암호화된 데이터 격리

______비법 12-5 | SnD 리버싱 도구, FindCrypt, Kanal로 암호 검색

______비법 12-6 | Zynamics BinDiff를 이용한 OpenSSL 심볼 포팅

______비법 12-7 | PyCrypto를 이용한 파이썬 데이터 복호화

___악성코드 언패킹

______비법 12-8 | 패킹된 악성코드에서 OEP 찾기

______비법 12-9 | LordPE를 이용한 프로세스 메모리 덤프

______비법 12-10 | ImpREC를 이용한 임포트 테이블 리빌드

___언패킹 리소스

___디버거 스크립트

______비법 12-11 | 도메인 생성 알고리즘 크래킹

______비법 12-12 | 파이썬과 x86emu를 이용한 문자열 디코딩


13 DLL을 이용한 작업

______비법 13-1 | DLL 익스포트 목록화

______비법 13-2 | rundll32.exe를 이용한 DLL 실행

______비법 13-3 | 호스트 프로세스 제한 우회

______비법 13-4 | rundl32ex를 이용한 원격 DLL 익스포트 호출

______비법 13-5 | LOADDLL.EXE를 이용한 DLL 디버깅

______비법 13-6 | DLL 진입점에 중단점 지정

______비법 13-7 | 윈도우 서비스로 DLL 실행

______비법 13-8 | DLL을 독립 실행 파일로 변환


14 커널 디버깅

___원격 커널 디버깅

___로컬 커널 디버깅

___소프트웨어 요구 사항

______비법 14-1 | LiveKd를 이용한 로컬 디버깅

______비법 14-2 | 커널 디버그 부트 스위치 활성화

______비법 14-3 | 게스트 워크스테이션 디버깅(윈도우 환경)

______비법 14-4 | Parallels 게스트 디버깅(맥 OS X 환경)

______비법 14-5 | WINDBG 명령과 제어 개요

______비법 14-6 | 프로세스와 프로세스 컨텍스트 탐색

______비법 14-7 | 커널 메모리 탐색

______비법 14-8 | 드라이버 로드에 중단점 지정

______비법 14-9 | OEP로 드라이버 언패킹

______비법 14-10 | 드라이버 덤프와 리빌드

______비법 14-11 | WinDbg 스크립트를 이용한 루트킷 탐지

______비법 14-12 | IDA Pro를 이용한 커널 디버깅


15 Volatility에 의한 메모리 포렌식

___메모리 수집

______비법 15-1 | MoonSols 윈도우 메모리 툴킷을 이용한 메모리 덤프

______비법 15-2 | F-Response를 이용한 원격, 읽기전용 메모리 수집

______비법 15-3 | 가상 머신 메모리 파일에 접근

______비법 15-4 | Nutshell의 Volatility

______비법 15-5 | 메모리 덤프의 프로세스 조사

______비법 15-6 | psscan을 이용해 DKOM 탐지

______비법 15-7 | csrss.exe의 대체 프로세스 목록 탐색

______비법 15-8 | 프로세스 컨텍스트 속임수 인지


16 메모리 포렌식: 코드 인젝션과 추출

___DLL 조사

______비법 16-1 | 로드된 의심스러운 DLL 찾기

______비법 16-2 | ldr_Modules을 이용해 언링크된 DLL 탐지

___코드 인젝션과 VAD

______비법 16-3 | 가상 주소 설명자 탐색

______비법 16-4 | 페이지 보호 해석

______비법 16-5 | 프로세스 메모리에 있는 증거 찾기

______비법 16-6 | malfind와 YARA를 이용해 인젝션된 코드 확인

___바이너리 재구성

______비법 16-7 | 메모리에서 실행 이미지 리빌드

______비법 16-8 | impscan을 이용해 임포트된 함수를 스캐닝

______비법 16-9 | 의심스러운 커널 모듈 덤프


17 메모리 포렌식: 루트킷

______비법 17-1 | IAT 후킹 탐지

______비법 17-2 | EAT 후킹 탐지

______비법 17-3 | 인라인 API 후킹 탐지

______비법 17-4 | IDT 후킹 탐지

______비법 17-5 | 드라이버 IRP 후킹 탐지

______비법 17-6 | SSDT 후킹 탐지

______비법 17-7 | ssdt_ex를 이용한 대부분의 작업 자동화

______비법 17-8 | 커널 스레드에서 분리된 루트킷 탐지

______비법 17-9 | 시스템 전역 알림 루틴 확인

______비법 17-10 | SVSCAN을 이용해 악성 서비스 프로세스 찾기

______비법 17-11 | mutantscan을 이용한 뮤텍스 객체 스캐닝


18 메모리 포렌식: 네트워크와 레지스트리

______비법 18-1 | 소켓과 연결 객체 조사

______비법 18-2 | Zeus가 남긴 네트워크 데이터 분석

______비법 18-3 | 은폐된 TCP /IP 활동 시도 탐지

______비법 18-4 | 원시 소켓과 무작위 NIC 탐지

___레지스트리 분석

______비법 18-5 | 메모리 레지스트리 도구를 이용한 레지스트리 잔여 데이터 분석

______비법 18-6 | 최근에 쓴 타임스탬프순으로 키 정렬

______비법 18-7 | RegRipper와 함께 Volatility 사용


실전 악성코드와 멀웨어 분석 (45,000원)

http://www.yes24.com/24/goods/11185291?scode=032&OzSrank=7




______0장 악성코드 분석 입문


___1부 기초 분석

______1장 기초 정적 분석 기법

______2장 가상머신에서의 악성코드 분석

______3장 기초 동적 분석


___2부 고급 정적 분석

______4장 X86 디스어셈블리 속성 과정

______5장 IDA Pro

______6장 어셈블리어에서의 C 코드 구조 식별

______7장 악의적인 윈도우 프로그램 분석


___3부 고급 동적 분석

______8장 디버깅

______9장 OllyDbg

______10장 WinDbg를 이용한 커널 디버깅


___4부 악성코드의 기능

______11장 악성코드의 행위 특성

______12장 위장 악성코드 실행

______13장 데이터 인코딩

______14장 악성코드 기반 네트워크 시그니처


___5부 안티리버싱

______15장 안티디스어셈블리

______16장 안티디버깅

______17장 안티가상머신 기법

______18장 패커와 언패킹


___6부 특별한 주제

______19장 셸코드 분석

______20장 C++ 분석

______21장 64비트 악성코드


부록

______부록 A 주요 윈도우 함수

______부록 B 악성코드 분석 도구

______부록 C 실습 문제 풀이


Cuckoo 샌드박스를 활용한 악성코드 분석

http://www.yes24.com/24/goods/13363331?scode=032&OzSrank=5




1장 쿠쿠 샌드박스를 이용한 악성코드 자동 분석 시작

악성코드 분석 방법

샌드박스의 기본 이론

악성코드 분석 랩

쿠쿠 샌드박스

쿠쿠 샌드박스 설치

___하드웨어 요구 사양

___호스트 운영체제 준비

___요구 사항

___우분투에 파이썬 설치

___호스트 운영체제에 쿠쿠 샌드박스 설정

___게스트 운영체제 준비

______네트워크 구성

______호스트 운영체제와 게스트 운영체제의 공유 폴더 설정

___사용자 생성

쿠쿠 샌드박스 설치

cuckoo.conf

[machinemanager].conf

processing.conf

reporting.conf

정리


2장 쿠쿠 샌드박스를 이용한 악성코드 샘플 분석

쿠쿠 시작

쿠쿠 샌드박스에 악성코드 샘플 등록

악성 워드 문서 등록

악성 PDF 문서 등록: aleppo_plan_cercs.pdf

악성 엑셀 문서 등록: CVE-2011-0609_XLS-SWF-2011-03-08_

crsenvironscan.xls

악성 URL 등록: http://youtibe.com

악성 URL 등록: http://ziti.cndesign.com/biaozi/ fdc/page_07.htm

바이너리 파일 등록: Sality.G.exe

쿠쿠 샌드박스를 이용한 메모리 포렌식: 메모리 덤프 기능 사용

Volatility를 이용한 추가 메모리 포렌식

___Volatility 사용

정리


3장 쿠쿠 샌드박스 결과 분석

처리 모듈

쿠쿠 샌드박스와 Volatility, Yara를 이용한 APT 공격 분석

정리


4장 쿠쿠 샌드박스 보고서

HTML 포맷의 기본 보고서 생성

MAEC 보고서 생성

쿠쿠의 데이터 분석 보고서를 다른 포맷으로 내보내기

정리


5장 쿠쿠 샌드박스의 팁과 트릭

VM 탐지에 대비한 쿠쿠 샌드박스 강화

Cuckooforcanari: 말테고 프로젝트와 쿠쿠 샌드박스 통합

___말테고 설치

쿠쿠 MX로 이메일 첨부 파일 자동 검사

정리


Reverse Engineering 리버스엔지니어링 : 역분석 구조와 원리

http://www.yes24.com/24/goods/3056480?scode=032&OzSrank=1




1장 리버스엔지니어링에 대하여

1.1 리버스엔지니어링이란 무엇인가? 

1.2 크래커에 의한 피해 사례, 개발자들이 주의할 부분 

1.3 리버스엔지니어링의 전망과 취업 

1.4 리버스엔지니어링 관련 법률 

1.5 라이선스 정책에 대한 정리 


2장 리버스엔지니어링을 위한 기초 지식

2.1 올리디버거(OllyDBG) 설정 및 사용법 

2.2 Jump구 문제어 문제 풀이 

2.3 CPU 레지스터와 어셈블리 언어, 진수 변환 

2.3.1 진수 변환 | 2.3.2 CPU 레지스터 | 2.3.3 어셈블리 언어 

2.3.4 상황별 어셈블리 명령어 

2.4 WinApi 분석을 통한 문제풀이

2.5 매뉴얼 Unpack과 Back To User 모드 

2.6 키젠(KeygenMe) 문제 풀이를 통한 스택과 콜링컨벤션의 이해 

2.7 KeyFile 체크 문제 풀이와 바이너리 수정 

2.8 nag 제거 문제를 통한 PE 구조의 이해 


3장 리버스엔지니어링 관련 툴

3.1 툴 사용하기 

3.2 시스템 모니터링 툴 

3.2.1 Filemon | 3.2.2 Regmon | 3.2.3 TcpView 

3.2.4 Procexp 

3.3 디스어셈블러 

3.3.1 IDA 설치 | 3.3.2 메뉴 구성과 IDA 사용 방법 | 3.3.3 디버깅 

3.4 IDA에서 for문 분석하기 

3.5 IDA에서 if문 분석하기 

3.6 크로스레퍼런스 기능과 지뢰찾기 분석 

3.7 디컴파일러 

3.7.1 플래쉬 디컴파일러(sothink SWF Decompiler) 

3.7.2 닷넷 프로그램 디컴파일러(Reflector) 

3.7.3 델파이 디컴파일러(DeDe) | 3.7.4 자바 디컴파일러(JAD) 

3.8 메모리 패치 

3.8.1 티서치 | 3.8.2 치트엔진 

3.9 바이너리 분석 

3.9.1 PEiD | 3.9.2 리소스해커 | 3.9.3 Strings 

3.9.4 Dependency Walker와 DumpBin 

3.10 언패커 

3.10.1 Universal Extractor | 3.10.2 VMUnpacker 

3.11 리빌더 

3.12 헥스에디터 

3.13 루트킷 탐지 

3.13.1 GMER | 3.13.2 IceSword 

3.14 네트워크 모니터링 툴 

3.15 가상 머신 

3.15.1 VMWare | 3.15.2 VirtualBox 


4장 악성 코드 분석

4.1 악성 코드란? 

4.1.1 파일 바이러스 | 4.1.2 웜 | 4.1.3 트로이목마 

4.1.4 백도어 | 4.1.5 스파이웨어 

4.2 악성 코드 감염 경로 

4.2.1 메신저에서의 파일 전송 | 4.2.2 이메일에서의 파일 다운 

4.2.3 의심스러운 사이트에서의 ActiveX 설치 

4.2.4 P2P 사이트에서의 파일 다운 | 4.2.5 인터넷에서 감염된 파일 다운 

4.3 악성 코드 분석(IRC Bot) 


5장 안티 디버깅

5.1 안티 디버깅이란? 

5.2 안티 디버깅의 종류 

5.3 IsDebuggerPresent 

5.4 Microsoft Visual Studio 2005에서 컴파일 및 실행 

5.5 Microsoft Visual Studio 6.0에서 컴파일 및 실행 

5.6 IsDebuggerPresent 우회 방법 

5.7 IsDebugged 

5.8 IsDebugged 우회 방법 

5.9 NtGlobalFlags 

5.10 NtGlobalFlags 우회 방법 

5.11 CheckRemoteDebuggerPresent 

5.12 CheckRemoteDebuggerPresent 우회 방법 

5.13 FindWindow 

5.14 FindWindow 우회 방법


The IDA Pro Book (2nd Edition) 한국어판

http://www.yes24.com/24/goods/7374471?scode=032&OzSrank=1



1부 IDA 소개


1장 디스어셈블리 소개

___디스어셈블리 이론

___디스어셈블리란?

___디스어셈블리가 필요한 이유

___디스어셈블리의 방법


2장 리버싱과 디스어셈블리 툴

___분류 툴

___요약 툴

___심층 조사 툴


3장 IDA 프로 배경 지식

___헥스레이 사의 저작권 침해 대책

___IDA Pro의 획득

___IDA 지원 사이트

___IDA 설치

___IDA 사용자 인터페이스 고찰


2부 IDA 기본 사용법


4장 IDA 시작

___IDA 시작

___IDA 데이터베이스 파일

___IDA 데스크탑 소개

___초기 분석 과정 중 데스크탑의 진행 상황

___IDA 데스크탑 팁과 트릭

___버그 보고


5장 IDA 데이터 디스플레이

___기본 IDA 디스플레이

___보조 디스플레이 화면

___기타 IDA 디스플레이


6장 디스어셈블리 살펴보기

___기본 탐색 기능

___스택 프레임

___데이터베이스 검색


7장 디스어셈블리 다루기

___이름과 이름 지정

___IDA의 주석

___기본 코드 변환


8장 데이터 타입과 데이터 구조

___데이터 구조 파악

___IDA 구조체 생성

___구조체 템플릿 활용

___신규 구조체 가져오기

___표준 구조체 활용

___IDA TIL 파일

___C++ 리버스 엔지니어링 기초


9장 상호 참조와 그래프

___상호 참조

___IDA 그래프


10장 여러 가지 IDA

___콘솔 모드 IDA

___IDA 일괄처리 모드 사용

___3부 IDA 고급 사용법


11장 IDA 커스터마이징

___환경설정 파일

___기타 IDA 환경설정 파일 옵션


12장 FLIRT 시그니처로 라이브러리 인식

___고속 라이브러리 식별과 인식 기술

___FLIRT 시그니처 적용

___FLIRT 시그니처 파일 생성


13장 IDA 심층 탐구

___추가된 함수 정보

___loadint로 미리 정의된 주석 보강


14장 바이너리 패칭과 IDA 제약 사항

___혼란을 야기하는 메뉴

___IDA 출력 파일과 패치


15장 IDC 스크립팅

___기본적인 스크립트 실행

___IDC 언어

___IDC 스크립트 단축키

___유용한 IDC 함수

___IDC 스크립트 예제

___IDAPython 스크립트 예제


16장 IDA SDK

___SDK 소개

___IDA API


17장 IDA 플러그인 아키텍처

___플러그인 개발

___플러그인 작성

___플러그인 설치

___플러그인 환경설정

___IDC 확장

___플러그인 사용자 인터페이스 옵션

___스크립트 플러그인


18장 바이너리 파일과 IDA 로더 모듈

___알지 못하는 파일 분석

___수작업으로 PE 파일 로딩

___IDA 로더 모듈

___IDA 로더 작성

___다른 로더 전략

___스크립트 로더 작성


19장 IDA 프로세서 모듈

___파이썬 바이트 코드

___파이썬 인터프리터

___프로세서 모듈 빌드

___프로세서 모듈 아키텍처

___프로세서 모듈 스크립트


5부 실제 애플리케이션


20장 다양한 컴파일러

___점프 테이블과 switch문

___RTTI 구현

___디버그 바이너리와 릴리스 바이너리

___기타 호출 규약


21장 난독화된 코드 분석

___안티정적 분석 기법

___안티동적 분석 기법

___IDA를 이용한 정적 바이너리 역난독화

___가상 머신 기반 난독화


22장 취약점 분석

___신규 취약점 발견

___IDA로 취약점을 발견한 후

___IDA와 취약점 개발 절차

___셸코드 분석


23장 실제 IDA 플러그인

___IDAPython

___collabREate

___ida-x86emu

___MyNav


6부 IDA 디버거


24장 IDA 디버거

___디버거 시작

___디버거 디스플레이

___프로세스 제어

___디버깅 자동화


25장 디스어셈블러/디버거 통합

___배경

___IDA 데이터베이스와 디버거

___난독화 코드 디버깅

___IdaStealth

___예외 처리


26장 추가 디버거 기능

___IDA를 이용한 원격 디버깅

___Bochs 활용 디버깅

___Appcall


부록 A IDA 5.0 무료 버전 사용

___IDA 무료 버전 제약 사항

___IDA 무료 버전 사용


리버싱 : 리버스 엔지니어링 비밀을 파헤치다

http://www.yes24.com/24/goods/3386676?scode=032&OzSrank=5




1부 리버싱 101 


1장 기초 

리버스 엔지니어링 

소프트웨어 리버스 엔지니어링: 리버싱 

리버싱 적용 

- 보안 관련 리버싱 

-- 악성코드 소프트웨어 

-- 암호 알고리즘 리버싱 

-- 디지털 저작권 관리 

-- 프로그램 바이너리 감사 

- 소프트웨어 개발에서의 리버싱 

-- 소프트웨어 간의 상호 운용 

-- 경쟁 제품 분석 

-- 소프트웨어의 품질과 안정성 측정 

로우레벨 소프트웨어 

- 어셈블리 언어 

- 컴파일러 

- 가상 머신과 바이트 코드 

- 운영체제 

리버싱 절차 

- 시스템 레벨 리버싱 

- 코드 레벨 리버싱 

사용 툴 

- 시스템 모니터링 툴 

- 디스어셈블러 

- 디버거 

- 디컴파일러 

리버싱은 합법적인 작업인가 

- 상호 운용성 

- 경쟁 

- 저작권법 

- 영업 비밀과 특허권 

- 디지털 밀레니엄 저작권법 

- DMCA 사례 

- 사용권 계약 

예제 코드와 툴 

정리 


2장 로우레벨 소프트웨어 

하이레벨 관점 

- 프로그램 구조 

-- 모듈 

-- 공통 구성 요소 

- 데이터 처리 

-- 변수 

-- 사용자 정의 데이터 구조체 

-- 리스트 

- 제어 흐름 

- 하이레벨 언어 

--

-- C++ 

-- 자바 

-- C# 

로우레벨 관점 

- 로우레벨 데이터 처리 

-- 레지스터 

-- 스택 

-- 힙 

-- 실행 데이터 섹션 

- 제어 흐름 

어셈블리 언어 입문 

- 레지스터 

- 플래그 

- 명령 포맷 

- 기본 명령 

-- 데이터 이동 

-- 산술 연산 

-- 비교 연산 

-- 조건 분기 

-- 함수 호출 

- 코드 예 

컴파일러 기초 

- 컴파일러란 

- 컴파일러 아키텍처 

-- 프런트엔드 

-- 중간 표현 

-- 최적화기 

-- 백엔드 

- 리스팅 파일 

- 사용 컴파일러 

실행 환경 

- 소프트웨어 실행 환경(가상 머신) 

-- 바이트 코드 

-- 인터프리터 

-- Just-in-Time 컴파일러 

-- 리버싱 전략 

- 최신 프로세서에서의 하드웨어 실행 환경 

-- Intel NetBurst 

-- μops(Micro-Ops) 

-- 파이프라인 

-- 분기 예측 

정리 


3장 윈도우 기초 

컴포넌트와 기본 아키텍처 

- 간략한 역사 

- 특징 

- 지원 하드웨어 

메모리 관리 

- 가상 메모리와 페이징 

-- 페이징 

-- 페이지 폴트 

- 워킹 셋 

- 커널 메모리와 유저 메모리 

- 커널 모드 공간 

- 섹션 객체 

- VAD 트리 

- 유저 모드 메모리 할당 

- 메모리 관리 API 

객체와 핸들 

- 네임드 객체 

프로세스와 스레드 

- 프로세스 

- 스레드 

- 컨텍스트 스위칭 

- 동기화 객체 

- 프로세스 초기화 과정 

애플리케이션 프로그래밍 인터페이스 

- Win32 API 

- 네이티브 API 

- 시스템 콜 메커니즘 

실행 포맷 

- 기본 개념 

- 이미지 섹션 

- 섹션 정렬 

- 동적 링크 라이브러리 

- 헤더 

- 임포트와 익스포트 

- 디렉터리 

입력과 출력 

- I/O 시스템 

- Win32 서브시스템 

-- 객체 관리자 

구조화된 예외 처리 

정리 


4장 리버싱 툴 

다양한 리버싱 방법 

- 오프라인 코드 분석(Dead-Listing) 

- 라이브 코드 분석 

디스어셈블러 

- IDA Pro 

- ILDasm 

디버거 

- 유저 모드 디버거 

-- OllyDbg 

-- WinDbg를 이용한 유저 모드 디버깅 

-- IDA Pro 

-- PEBrowse Professional Interactive 

- 커널 모드 디버거 

-- WinDbg를 이용한 커널 모드 디버깅 

-- Numega SoftICE 

-- 가상 머신에서의 커널 디버깅 

디컴파일러 

시스템 모니터링 툴 

패치 툴 

- Hex Workshop 

기타 리버싱 툴 

- 실행 이미지 덤프 툴 

-- DUMPBIN 

-- PEView 

-- PEBrowse Professional 

정리 


2부 리버싱 응용 


5장 리버싱 실전 

리버싱과 상호운용성 

기본 원칙 

문서화되지 않은 API를 찾는 방법 

- 찾고자 하는 것 

사례 연구: NTDLL.DLL의 Generic Table API 

- RtlInitializeGenericTable 

- RtlNumberGenericTableElements 

- RtlIsGenericTableEmpty 

- RtlGetElementGenericTable 

-- 셋업과 초기화 

-- 로직과 구조 

-- 검색 루프 1 

-- 검색 루프 2 

-- 검색 루프 3 

-- 검색 루프 4 

-- 소스코드 추출 

- RtlInsertElementGenericTable 

-- RtlLocateNodeGenericTable 

-- RtlRealInsertElementWorker 

-- Splay 트리 

- RtlLookupElementGenericTable 

- RtlDeleteElementGenericTable 

- 분석한 내용 종합 

정리 


6장 파일 포맷 분석 

Cryptex 

Cryptex 사용 

Cryptex 리버싱 

패스워드 검증 과정 

- "Bad Password" 메시지 잡아내기 

- 패스워드 변환 알고리즘 

- 패스워드 해싱 

디렉터리 구조 

- 디렉터리 처리 코드 분석 

- 파일 엔트리 분석 

디렉터리 구조 덤프 

파일 추출 과정 

- 파일 목록 검색 

- 파일 복호화 

- 부동소수점 연산 

- 복호화 루프 

- 해시 값 검증 

정리 

좀 더 자세히 

결론 


7장 프로그램 바이너리 감사 

문제점 정의 

보안 취약점 

- 스택 오버플로우 

-- 간단한 스택 보안 취약점 

-- 내부 구현 

-- 스택 검사 

-- 비실행 가능 메모리 

- 힙 오버플로우 

- 문자열 필터 

- 정수 오버플로우 

-- 사용자 입력 정수에 대한 산술 연산 

- 형 변환 에러 

사례: IIS 인덱싱 서비스 보안 취약점 

- CVariableSet::AddExtensionControlBlock 

- DecodeURLEscapes 

정리 


8장 악성코드 리버싱 

악성코드의 종류 

- 바이러스 

- 웜 

- 트로이 목마 

- 백도어 

- 모바일 코드 

- 애드웨어/스파이웨어 

스틱키 소프트웨어 

미래의 악성코드 

- 정보 탈취 웜 

- 바이오스/펌웨어 악성코드 

악성코드의 목적 

악성코드 취약점 

다형성 

변종 

안전한 리버싱 환경 구축 

Backdoor.Hacarmy.D 

- 실행 파일 언패킹 

- 최초 실행 

- 설치 

- 네트워크 연결 

- 서버에 연결 

- 채널에 접속 

- 백도어와 통신 

- SOCKS4 서버 실행 

- 자체 제거 

Backdoor.Hacarmy.D: 명령 레퍼런스 

정리 


3부 크래킹 


9장 저작권 침해와 불법 복사 방지 

저작권 

사회적 측면 

소프트웨어 저작권 침해 

- 문제 정의 

- 보안 결함 

- 필요 조건 

- 이론적으로 크랙이 불가능한 모델 

보호 유형 

- 매체 기반 보호 

- 시리얼 번호 

- 질의 응답과 온라인 인증 

- 하드웨어 기반의 보호 

- 서비스로서의 소프트웨어 

진보된 보호 개념 

- 크립토 프로세서 

디지털 저작권 관리 

- DRM 모델 

-- 윈도우 미디어 저작권 관리자 

-- 시큐어 오디오 패스 

워터 마크 

신뢰 컴퓨팅 

복사 방지 기술 공격 

정리 


10장 안티 리버싱 기술 

안티 리버싱이 필요한 이유 

기본적인 안티 리버싱 방법 

심볼 정보 제거 

코드 암호화 

안티 디버거 기술 

- 디버거 기본 

- IsDebuggerPresent API 

- SystemKernelDebuggerInformation 

- 싱글 스텝 인터럽트를 이용한 SoftICE 탐지 

- 트랩 플래그 

- 코드 체크섬 

안티 디스어셈블러 

- 선형 스윕 디스어셈블러 

- Recursive Traversal 디스어셈블러 

- 적용 

코드 난독화 

제어 흐름 변환 

- Opaque Predicates 

- 안티 디컴파일러 

- Table Interpretation 

- 인라인닝과 아웃라이닝 

- 인터리빙 코드 

- 순서 변환 

데이터 변환 

- 변수 인코딩 

- 배열 재구성 

정리 


11장 보호 기술 파괴 

패치 

Keygen 

키 생성 알고리즘 추출 

고급 크래킹: Defender 

- Defender의 초기화 루틴 리버싱 

- 복호화된 코드 분석 

- 사라진 SoftICE 

- 스레드 리버싱 

- "Killer" 스레드 무력화 

- KERNEL32.DLL 로딩 

- 함수 재암호화 

- 엔트리 포인트로 다시 돌아가서 

- 프로그램 파라미터 파싱 

- 사용자 이름 처리 

- 사용자 정보 검증 

- 코드 복호화 

- Defender에 대한 무작위 대입 

Defender의 보호 기술 

- 함수 레벨의 암호화 

-- 상대적으로 강력한 암호 블록 체인 

-- 재 암호화 

- 애플리케이션/운영체제와의 인터페이스 난독화 

- 프로세서 타임 스탬프 검증 스레드 

- 실행 시에 복호화 키 생성 

-- 상호 의존 키 

-- 사용자 입력 기반의 복호화 키 

- 인라이닝 

정리 


4부 디스어셈블리 너머 


12장 닷넷 리버싱 

기반 지식 

닷넷 기본 

- 매니지드 코드 

- 닷넷 프로그래밍 언어 

- 공통 타입 시스템 

중간 언어 

- 평가 스택 

- 활성화 레코드 

- IL 명령 

- IL 코드 샘플 

-- Counting Items 

-- 링크드 리스트 샘플 

디컴파일러 

난독기 

- 심볼 이름 변경 

- 제어 흐름 변경 

- 디컴파일과 디스어셈블리 차단 

난독화된 코드 리버싱 

- XenoCode 

- Preemptive Solutions의 DotFuscator 

- Remotesoft 난독기와 링커 

- Remotesoft Protector 

- 어셈블리 프리컴파일 

- 어셈블리 암호화 

정리 


13장 디컴파일 

네이티브 코드 디컴파일 

전형적인 디컴파일러의 구조 

중간 표현 

- 표현식과 표현식 트리 

- 제어 흐름 그래프 

프론트엔드 

- 의미 분석 

- 제어 흐름 그래프 생성 

코드 분석 

- 데이터 흐름 분석 

-- 단일 정적 할당 

-- 데이터 전달 

-- 레지스터 변수 구별 

-- 데이터 타입 전달 

- 타입 분석 

-- 기본 데이터 타입 

-- 복잡한 데이터 타입 

- 제어 흐름 분석 

- 라이브러리 함수의 구별 

백엔드 

실제 IA-32 디컴파일러 

정리 


리버싱 윈도우 (48,000원)

http://www.yes24.com/24/goods/9400146?scode=032&OzSrank=3



리버싱 핵심 원리 : 악성 코드 분석가의 리버싱 이야기 (48,000원)

http://www.yes24.com/24/goods/7529742?scode=032&OzSrank=1






저작자표시동일조건
Posted by viruslab
Trackback 0 Comment 0

댓글을 달아 주세요

분석도구2014. 1. 17. 17:47

프로세스 익스플로러에 바토 기능 추가



다음 버전에 공개될 듯.

 
저작자표시동일조건
Posted by viruslab
Trackback 0 Comment 0

댓글을 달아 주세요

분석도구2011. 3. 30. 18:36

프로세스 강제 종료 테스트시 사용하는 도구들



1. Process Explorer
http://technet.microsoft.com/ko-kr/sysinternals/bb896653 [^]

2. Kill Switch (Comodo Cleaning Essentials 에 포함된 도구
http://help.comodo.com/topic-119-1-208-2073-downloading-comodo-cleaning-essentials.html [^]

3. Process Hacker
http://processhacker.sourceforge.net/ [^]

4. GMER
http://www.gmer.net/ [^]

5. ICESword
http://pjf.blogcn.com/index.shtml [^]
http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip [^]

6. Advanced Process Termination
http://www.softpedia.com/get/System/Launchers-Shutdown-Tools/Advanced-Process-Termination.shtml [^]

7. Kernel Detective
http://www.at4re.com/download.php?view.2


Posted by viruslab
Trackback 0 Comment 1

댓글을 달아 주세요

  1. Favicon of http://ssina.tistory.com BlogIcon 씨나

    관리자의 승인을 기다리고 있는 댓글입니다

    2011.03.31 09:19 [ ADDR : EDIT/ DEL : REPLY ]

분석도구2011. 1. 11. 10:49

PGP 개별 암호화 방식



PGP 암호화시 파일들을 개별적으로 암호화하기 위한 옵션
사용자 삽입 이미지





Posted by viruslab
TAG PGP
Trackback 0 Comment 0

댓글을 달아 주세요

분석도구2010. 10. 20. 14:38

웹사이트 악성 파일 삽입 모니터링 프로그램(MalScrMon 0.4)



http://www.securityplus.or.kr/xe/?document_srl=21693&vid=bangrip1

malscrmon_배포_0.4.zip
MalScrMon+사용자+가이드.doc
사용자 삽입 이미지



Posted by viruslab
TAG It, Malscrmon
Trackback 0 Comment 0

댓글을 달아 주세요

분석도구2010. 10. 20. 14:32

URL 스크립트 분석 프로그램 (MDecoder)



http://blog.mtian.net/mdecoder/

http://blog.mtian.org/mdecoder/

https://code.google.com/p/mdecoder/downloads/list

이 프로그램은 원래 FreShow 가 근간이며, jimmyleo 가 공유한 소스코드를 활용한 것으로 알고 있습니다.

MDecoder.zip

사용자 삽입 이미지

Posted by viruslab
TAG It, MDecoder, 분석도구
Trackback 1 Comment 1

댓글을 달아 주세요

  1. Favicon of https://viruslab.tistory.com BlogIcon viruslab

    http://www.sacour.cn/Redoce/RedDown.html

    2010.11.16 16:38 신고 [ ADDR : EDIT/ DEL : REPLY ]

분석도구2010. 10. 20. 14:05

악성 URL 분석용 프로그램(NOSEC Malware Detector)



http://www.nosec.org/2010/1015/673.html

nsdecoder_gui_v1.0.zip

아직 초기 버전이라 약간 버그가 있네요.
사용자 삽입 이미지


Posted by viruslab
TAG It, 악성프로그램
Trackback 0 Comment 0

댓글을 달아 주세요

분석도구2010. 3. 2. 16:45

GMER ver 1.0.15.15281



Przemyslaw Gmerek 라는 폴란드에 계신 분이 개발하여 악성코드 처리에 널리 활용되고 있는 GMER 최신 버전입니다.

자신의 이름인 Gmerek 를 인용하여 GMER 라는 이름으로 제작되고 있지요.

자주 버전 업을 하고 있으니, 수시로 최신 버전을 받아서 사용하도록 하시면 좋겠습니다.

http://www2.gmer.net/gmer.zip

  • hidden processes
  • hidden threads
  • hidden modules
  • hidden services
  • hidden files
  • hidden Alternate Data Streams
  • hidden registry keys
  • drivers hooking SSDT
  • drivers hooking IDT
  • drivers hooking IRP calls
  • inline hooks


    Beta 버전 : http://www2.gmer.net/beta/gmer.exe

    • 특별한 경우가 아닌 이상 베타 말고 최신 정식 버전 사용하세요.

    저작자표시비영리동일조건
    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2010. 2. 25. 14:23

    Ahnlab Anti-Rootkit - TrueFind



    개발 과정

    두 명의 개발자가 고객의 컴퓨터를 분석하고 있다.

    A: 아무리 찾아 봐도 우리 프로그램의 문제로 컴퓨터가 오동작 하는 것 같지는 않은데…
    B: 내가 봐도 그래. 혹시 악성 프로그램이 동작해서 그런 건 아닐까?

    A: 조금 전에 실행 중인 프로그램이나 의심스러운 파일이 존재 하는지 살펴 보았는데 그런 건 없어 보였어.
    B: 요즘에는 프로그램이나 파일이 실행 되어도 보이지 않는 루트킷 같은 프로그램이 있다고 들었어. 혹시, 이 컴퓨터에도 그런 프로그램이 실행 중이지 않을까?

    A: 그럼 안철수연구소의 TrueFind를 다운로드 받아서 실행 해 봐야겠다.
    B: 어? 숨겨진 파일이 2개나 있고 이를 실행한 프로세스까지 숨겨져 있었구나. 이것 때문에 컴퓨터가 이유 없이 느리고 오동작 했던거구나.

    A: 이 파일들을 안철수 연구소에 신고하려면… 아! 여기 신고 버튼만 누르면 되네.
    B: 역시 잘 찾고 빠르고 편하구나. 안철수 연구소 TrueFind 최고야!

    (1) 은폐와의 전쟁. 그 시작은

    은폐 악성 프로그램의 시작은 의외로 오래 되었다. 과거 호스트, 터미널 방식으로 시스템을 사용하던 시절에 시스템 관리자 (root)의 계정을 탈취하기 위해서 만들어진 작은 악성 프로그램들이 최초의 은폐형 악성 프로그램이며, passwd, ls, rm, tar 와 같이 기존 운영체제의 프로그램명과 동일하게 하여 운영자가 구분하기 어렵게 만드는 방식이었다. 이러한 프로그램을 시스템 관리자(root) 의 정보를 획득하는 프로그램이라는 의미에서 이름이 루트킷(rootkit)으로 명명되었다. 이후 은폐형 악성 프로그램들을 지칭하는 대명사가 되기도 하였다.

    당시의 은폐 기법은 관리자의 작은 착각을 이용하는 단순한 방법이었으나, 점점 은폐 악성 프로그램들도 진화를 하여, 이제는 응용 프로그램에서 그 존재를 알 수 없는 것은 물론이거니와 백신이나 전문 은폐 진단 툴까지도 자신을 찾아 내기 어렵게 만들고 있다. 은폐되는 대상도 파일을 시작으로 프로세스, 레지스트리 그리고 네트워크 사용 정보까지 확대 시켰으며, 구현 방법도 과거 단순히 유저모드 실행 파일로 만들던 방법에서 이제는 커널 모드 드라이버를 사용하는 고수준의 구현 방법을 사용하고 있다. 이러한 은폐형 악성 프로그램에 대해 안철수연구소는 2004년 5월 Agobot에 대해 최초의 진단/치료 기술을 만들었다. AgoBot은 Win32 API 의 파일, 프로세스 열거 함수를 후킹하여 자신의 정보를 숨기는 악성 프로그램으로써 현재의 기술로 보았을 때는 초보적인 기법이 사용되었으나 당시로는 충격적인 기법이었다. 이 악성 프로그램에 대해 우리는 메모리 엔진을 사용하여 후킹 된 함수를 복구하는 기술을 개발하여 이를 국내 최초로 진단/치료 하였고 이러한 사실이 언론에 기사화 되기도 하였다. 이후 AgoBot의 변종을 비롯하여 Delf, Padodor, HackDefender 등 지속적으로 자신을 은폐 시키는 악성 프로그램들이 빈번히 출현하였다. 그 수가 많아 짐에 따라 메모리 엔진을 사용하여 은폐 악성 프로그램이 후킹한 WIN32 API 를 복구하는 방식에는 한계가 오기 시작하였다. 특히, 커널 모드 드라이버를 사용하여 프로세스를 은폐 시키는 HackDefender가 출현한 상황에서 사용자 모드에서 동작하는 메모리엔진 만으로는 대응을 할 수 없는 상황까지 이르게 되었다.

    (2) 매의 눈 HawkEye를 만들다

    은폐형 악성 프로그램을 건건히 진단하고 치료하는 방법에는 한계가 오기 시작했다.  매 건마다 악성 프로그램을 분석해야 했으며, 이에 대한 진단과 치료 기술을 개발하기 위해 다시 연구를 하는 등 많은 노력이 필요했으며, 그만큼 대응 시간도 오래 걸리게 되었다. 대응 시간이 길어지는 것은 곧 고객의 피해로 이어지기 때문에 항상 긴급하게 진행되었고 개발자와 대응 인력 그리고 결과를 손꼽아 기다리는 고객까지 모두가 많이 힘들어 하였다.

    그 당시 급박한 상황을 알려주는 애피소드가 하나 있는데, 잦은 대응으로 인한 피곤함 때문에 모처럼 아무일 없기를 바라며 일찍 퇴근한 날이었다. 저녁으로 집에서 라면을 끓여 먹으려고 면을 막 냄비에 넣은 상황이었는데 회사에서 호출 전화가 걸려왔다. 고객사의 수십대 컴퓨터에 은폐형 악성 프로그램이 감염되었으니 빨리 진단/치료 프로그램을 제공해야 하는 상황이었다. 2시간이 걸려 집에 왔으나 너무 급한 나머지 그대로 불을 끄고 다시 회사로 2시간이 걸려 복귀하였는데, 대응을 마치고 새벽에 집에 돌아와 보니 라면의 면발이 너무 불어서 냄비 뚜껑이 들려 있을 정도였었다. 저녁을 못 먹었으니 배고픔에 몇 가닥 먹기는 하였으나 정말 눈물이 앞을 가리고, 은폐형 악성 프로그램에 대한 원한이 맺히기 까지 하였다. 당시 F사의 B 프로그램이 무료로 배포되기 시작하였는데, 특정 악성 프로그램을 찾아내는 것이 아니라 숨겨진 파일과 프로세스를 찾아내어 이를 사용자에게 알려주는 프로그램이었다. 당시의 은폐형 악성 프로그램을 잘 찾아 주었고, 실행 속도도 빠르며 프로그램의 크기도 작아 우리의 대응 및 분석가들도 이 프로그램을 사용할 만큼 인기가 좋았었다. 우리한테는 F 사의 B 프로그램과 같은 기술이 필요했다. 매번 악성 프로그램에 대응하는 것에는 분명한 한계가 있으므로 시간이 걸리더라도 근본적으로 은폐된 프로그램을 진단/치료 할 수 있는 이러한 기술이 절실히 필요했기에 이어서 바로 프로젝트를 개시 하였다. 그 프로젝트는 TrueFind의 전신인 HawkEye 프로젝트로써, 새의 눈 중에 가장 시력이 좋은 매의 눈을 프로젝트 명으로 정한 것이다. 어떤 프로그램보다도 은폐된 악성 프로그램을 잘 찾아 내라는 의미로 짓게 되었다.

    HawkEye는 은폐된 프로세스와 모듈을 찾아내는데 그 목표를 두었다. 당시, 은폐형 악성 프로그램은 주로 자신의 프로세스와 타 프로세스에 Injection 한 DLL 모듈을 은폐 하는 행위를 주로 하였으며 이러한 행위를 타겟으로 한 것이었다. 또한, 당시 출현하기 시작한 DKOM 과 같이 커널 모드에서 시도하는 프로세스 은폐에도 대응 할 수 있도록 커널 모드 드라이버로 구현을 하였다. 이때가 2005년 10월로써 이후 다른 중요한 일들로 인해 중간중간 프로젝트가 중단되며 우여곡절 끝에 2006년 5월에 은폐 프로세스 진단 기능이 완성되었다. 이 은폐 프로세스 진단 기능은 당시 타사의 프로세스 진단 기능에 비해 은폐 프로세스를 더욱 잘 진단하였으며, 은폐된 모듈까지 진단하도록 되어 있어서 그 성능이 월등히 좋았다. 특히, 커널 모드형 악성 프로그램에 대응하도록 개발하여 현재 까지도 최신의 은폐형 악성 프로그램 진단/치료에 사용되고 있다. 전용백신에 적용하여 좋은 효과를 보았으며, 고객 대응에도 활용하고 싶다는 요구에 따라 AhnReport에도 적용하여 프로세스 목록에 의심스러운 은폐 프로세스와 은폐 모듈이 존재하는지 정보를 알려주었다. 이 지면을 통해 당시 검증되지도 않았던 은폐 프로세스 진단 기능을 AhnReport에 흔쾌히 적용 해 주신 이현성 책임님께 감사 드린다.

    (3) 세종대왕과 함께한 진정한 은폐 진단/치료 기술. TrueFind

    HawkEye의 성공에 이어서 우리는 더 중요한 은폐된 파일과 레지스트리를 찾아 낼 수 있는 기술을 개발할 준비를 시작하였다. 특히 이번 기술은 대상이 은폐된 파일과 은폐 레지스트리이므로 V3 의 수동검사에서 사용하는 것을 기본 목표로 정했기 때문에 안정성을 갖추면서도 높은 진단률과 빠른 속도를 갖는게 중요했다.

    성공 가능성이 높지 않았기 때문에 프로젝트를 시작하기 전에 기술검토를 먼저 시작하였는데 원하는 조건을 모두 만족하는 것은 너무 불가능 해 보였다. 당시 타사에서 무료로 배포하는 툴에 적용된 기술들을 우선 검토한 결과 은폐 파일 진단/치료 만을 예로 들자면, 파일 시스템에 직접 접근하여 정보를 획득하는 방법을 채택하고 있었다. 이 방식은 높은 진단률을 가졌지만 파일 시스템에 직접 접근함으로써 안정성이 낮았고 속도가 느렸다. 다른 기술들 역시 안정성이 높으면 속도가 느리거나 진단률이 떨어졌다. 타사의 기술들이 참고는 되었으나 우리가 원하던 기술들은 아니었다. 우리가 목표로 하는 기술은 결국 독자적으로 연구해서 개발해야 했는데 타사들이 사용한 방식 이외에는 더 좋은 방법이 떠오르지 않았다. 이 당시 고민 거리가 있으면 여의도 공원의 세종대왕 동상을 찾아가 대왕님을 바라보며 속으로 해결 방법을 물어보는 기괴한 습관이 생겼는데, 마땅한 방법이 떠오르지 않았던 당시 매일 매일 야근시간이면 대왕님과 대화를 하는 위험한(?) 상황에까지 이르게 되었다. 그날도 대왕님과 답 없는 대화를 마치고 공원을 나올 때였는데 문득 떠오르는 생각이 있었다. 은폐 악성 프로그램이 자신의 정보를 숨기는 방식은 자신의 파일명이 파일 목록에 포함되어 있을 경우 해당 목록에서 자신의 파일명 정보만을 제거하는 방식인데, 만일 악성 프로그램이 파일 목록에서 자신의 파일명 정보를 찾지 못한다면 역시나 은폐를 하지 못 할 것 이라는 것이다. 그렇다면 전달되는 파일 시스템에서 응용 프로그램으로 전달되는 정보를 우리가 암호화하여 응용 프로그램에 전달되는 중간에는 은폐형 악성 프로그램이 정보를 알아채지 못 하도록 하고, 응용 프로그램에 전달 되기 직전에 다시 복호화 한다면 우리는 은폐형 악성 프로그램을 찾아 낼 수 있을 것 같았다.

    바로 프로토타입핑을 하여 만들어본 결과 너무나 그 성능이 만족스러웠다. 일반 WIN32 API 로 파일 시스템의 파일 목록을 구하는 속도와 거의 차이가 없었으며, 타사와 달리 파일명을 암호화 하는 방식이므로 위험하게 파일시스템에 접근하지 않아서 안정성이 매우 높았다. 또한, 진단률 역시 가장 최고의 진단률을 보였던 G 프로그램에 비해 약 90% 정도의 수준이었으므로 이 정도면 최초 개발 수준으로는 무척 좋은 수준이었다. 이후 은폐된 파일의 목록을 구하는 것 뿐만 아니라 역으로 암호화된 파일명을 사용하여 은폐된 파일을 제어하는 방법 등 다양하고도 우리가 독자적으로 개발한 진단/치료 기술들에 대한 기술검토가 진행되었으며 좋은 결과가 예상되었다. 2007년 10월. TrueFind의 첫 삽이 떠졌다. 앞서 검토된 기술 결과를 다양한 제품에서 사용 할 수 있도록 SDK 로 제공 할 수 있도록 설계 되었으며, 은폐된 파일 뿐만 아니라 타사에서는 제공하지 않았던 은폐 레지스트리 진단과 은폐 네트워크 포트 기능까지 제공되도록 하였다. TrueFind 프로젝트는 2008년 6월 30일. 장장 8개월에 걸쳐 프로젝트가 완료되었다.

    프로젝트 기간에 새롭게 등장한 MBR Rootkit에 대해 중간 산출물을 전용백신으로 제공하여 세계 두 번째 MBR Rootkit을 진단/치료하는 전용백신을 공개하기도 하였으며, 가상 실행 기술을 이용한 최신 은폐 프로그램의 진단/치료, 원격 핸들 제어 기능 등 프로젝트 기간동안 신규 개발된 기술들을 계속 추가함으로써 더욱 강력한 진단/치료 률을 제공 할 수 있게 하였다. 시작은 늦었으나 HawkEye, TrueFind 프로젝트를 통해 우리는 타사에 비해 앞선 은폐 프로세스, 파일, 레지스트리, MBR 및 네트워크 포트 진단기능까지 은폐에 관한 한 모든 범위의 악성 프로그램을 진단하고 치료 할 수 있는 기술을 갖출 수 있게 된 것이다. 이제 TrueFind를 이용한다면 더 이상 은폐형 악성프로그램은 은폐형이 아닌 일반 악성 프로그램이 될 뿐이다.

    (4) 기술은 제품으로

    안철수연구소에는 오늘도 많은 기술들이 연구되지만 실제로 제품에 반영되는 기술은 그 수가 많지 않다. 기술 자체가 실험적이기도 하지만 안정성을 갖추지 못 한다면 제품에 반영되어 실제 사용되기에는 많은 위험이 따르기 때문이다. TrueFind는 최초 설계 시부터 안정성을 우선으로 두고 설계되었기 때문에 프로젝트 완료 시에 바로 제품 적용을 시도하였다. 최초 적용 제품은 V3 IS 8.0 으로써, 신제품답게 강력한 진단/치료 기술을 갖추어야 했으며, TrueFind 가 이를 지원하기에는 안성맞춤이었다. V3 IS 8.0 에는 프로세스 검사, 시작 프로그램 검사, 파일 검사 등에 각각 은폐 프로세스, 은폐 레지스트리, 은폐 파일 기능이 포함되어 그 동안 전용백신으로만 진단/치료 할 수 있었던 최신의 은폐 및 자기 보호 악성 프로그램을 별도의 프로그램 없지 자체적으로 진단/치료 할 수 있도록 되었다. 또한, V3 IS 7.0 에도 적용을 시작함으로써 이제 자사의 주요 제품들은 타사에 비해 더욱 강력한 진단/치료 능력을 갖추게 되었다.

    (5) 모두에게 도움을 주기 위해

    2005년도 이미 F 사는 B 프로그램을 무료로 제공하여 F 사의 백신 프로그램을 모르는 사용자도 B 프로그램은 잘 알고 있는 상황이었다. 이뿐만 아니라 많은 주요 보안 회사들은 무료로 자신들의 은폐 진단/치료 툴을 배포하고 있었다. 무료로 툴을 제공하는 것은 사용자에게 도움을 주기도 하지만, 그 회사의 기술력을 광고하는 효과도 있으므로 많은 회사들이 무료 은폐 진단/치료 툴을 제공하는 것 이었다. 우리는 독자적인 은폐 진단/치료 툴이 없었다. 사용자에게 배포하는 툴은 물론이거니와 분석 및 고객지원에 사용할 은폐 진단/치료 툴도 없는 상황으로써 시급히 툴이 필요한 상황이었다. 다행히 기술이 준비되었으므로 툴을 바로 기획하였다. 이 작업은 기반기술팀의 파일 파트 4명과 네트워크 파트 1명이 참여하여 IQ 프로젝트로 진행을 시작했다. 김성현 책임이 기획과 리더 역할을, 고항훈 선임과 김경현 선임이 은폐 진단/치료 기술의 적용을 담당하고, 김현철 주임이 성능 시험을, 황두환 주임이 User Interface 개발을 담당하였다. 정식 프로젝트가 아닌 IQ 로 진행되는 일인만큼 모두가 참여할 시간이 부족했다. 특히, 진행 기간이 연말과 연초였기에 원래 업무가 무척 많은 상황에서 진행되어 개발 속도가 더디고 부담이 많이 되는 상황이었다.또한, 작은 툴을 생각했었으나 다양한 요구에 의해 단순한 진단, 리포트 뿐만 아니라 진단된 파일의 수집 및 검사와 업데이트 알림 까지 준 백신 급의 프로그램으로 만들어지게 되었다. 더욱 문제는 기반기술팀의 특징답게 기술은 잘 만들 수 있으나 User Interface 개발과는 거리가 멀었는데, 다행히 멀티 플레이어인 황두환 주임이 아주 멋있게 User Interface를 개발 해 주었다. 객관적이지는 않지만 필자의 생각으로는 지금까지의 은폐 진단/치료 툴 중 가장 편하고 멋진 화면을 보여주는 툴이라 생각한다.

    마침내 2009년 6월 자사 최초의 공개 툴 TrueFind가 완성되었고, 현재는 IQ 심사를 진행 중 이다. 7월 중에 고객에게 자사의 베타 사이트를 통해 배포를 될 수 있도록 준비를 하고 있다. 이 프로그램은 훌륭한 팀웍이 만들어 낸 프로그램이다. 모두가 바쁜 상황에서도 다른 사람들에게 도움을 주기 위해 없는 시간도 만들 정도로 희생을 하며 적극적으로 참여하였으며, 기존보다 나은 툴을 만들기 위해서 지속적인 아이디어 회의를 통해 방법을 도출 하고 적용을 시도하였다. 그 결과로써 타사의 은폐 진단/치료 툴보다도 빠르고, 사용하기 편하며 다른 툴에는 없는 기능인 진단된 결과를 네트워크를 통해 악성 유무까지 확인 할 수 있는 (AhnLab Smart Defense 연동) 기능까지 포함된 유용한 툴이 만들어지게 된 것이다. 앞으로 이번 배포뿐만 아니라 지속적으로 최신의 은폐형 악성 프로그램에 대응 될 수 있도록 업그레이드 될 것이며, 사용자의 요구 사항도 적극 반영하여 사용하기 편리한 프로그램으로 만들어 나갈 것 이다. 국내뿐만 아니라 세계에서도 가장 많이 사용되는 은폐 진단 툴이 될 때까지 모두가 계속 노력 할 것 이다.

    (6) 마치며

    자사의 독창적인 기술로써 타사 대비 높은 진단률과 안정성 그리고 빠른 속도를 갖는 기술과 바로 사용할 수 있는 툴이 갖추어 진 것만으로도 TrueFind가 목표했던 바 중 하나는 이루어 냈다고 생각한다. 하지만. 다른 하나의 목표가 있다. 그 목표는 모 사이트의 은폐 진단 성능 벤치마크를 기준으로 TrueFind를 평가하여 10개의 은폐 진단 프로그램 중 1등을 차지 하는 것 이다. 현재는 약 3위 정도의 위치이다. 목표하는 바를 이루기 위해 TrueFind 기술과 툴은 계속 업그레이드 될 것이고, 우리는 계속 노력 할 것이다.


    TrueFind.exe


    저작자표시비영리동일조건
    Posted by viruslab
    Trackback 0 Comment 1

    댓글을 달아 주세요

    1. Favicon of https://kudlik.tistory.com BlogIcon 쿠들릭

      바이러스 제로 시즌2에 트루파인드 파일 업로드 해도 되죠?^^ 허락해 주세요ㅋㅋ
      바제2 까까 입니다.

      2010.08.15 19:29 신고 [ ADDR : EDIT/ DEL : REPLY ]

    분석도구2010. 1. 15. 16:27

    Recall 081122



    7zFM.exe
    recall081122-2.com


    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 12. 8. 17:53

    Buster Sandbox Analyzer



    http://bsa.qnea.de/bsa.rar

    29A 를 운영했던 Virus Buster 가 개발한 것이다.

    사용자 삽입 이미지


    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 11. 19. 19:48

    Virus Total Uploader 2.0



    아직 바이러스 토탈 한글 페이지에는 그림이 변경되지 않았습니다.

    파일은 변경되어 배포 중입니다.

    http://www.virustotal.com/ko/metodos.html

    http://www.virustotal.com/vtsetup.exe

    VTUploader2.0Setup.exe


    사용자 삽입 이미지





    Posted by viruslab
    TAG Virus Total Uploader 2.0
    Trackback 0 Comment 4

    댓글을 달아 주세요

    1. Favicon of https://hummingbird.tistory.com BlogIcon 벌새

      URL 업로드 기능이 있군요~

      2009.11.19 20:34 신고 [ ADDR : EDIT/ DEL : REPLY ]

    2. 비밀댓글입니다

      2009.11.24 00:37 [ ADDR : EDIT/ DEL : REPLY ]
      • Favicon of https://viruslab.tistory.com BlogIcon viruslab

        네..잘 지냅니다.^^

        이젠 일반적인 질환이 된것 같은 느낌이에요.

        2009.11.24 08:40 신고 [ ADDR : EDIT/ DEL ]

    분석도구2009. 11. 19. 14:05

    Xandora 0.4 beta



    http://xandora.security.net.my/

    Panda 시큐리티에서 운영중인 베타 서비스이다.

    악성코드의 동적 분석 내용을 보여준다.

    Xandora is a tool for analyzing the behavior of Windows PE-executables with special focus on the analysis of malware. Execution of Xandora results in the generation of a report file that contains enough information to give a human user a very good impression about the purpose and the actions of the analyzed binary.

    - Files created by the malware.
    - logs all generated network traffic.
    - Detailed data about modifications made to the Windows registry
    - Capture all running process

    - Panda Security Malaysia
    - vnsecurity.net
    - security.org.my (Honeynet, Malaysian Chapter)


    – Windows executable
    – Panda Beagle compressed file
    – Zip file (with password “panda”)
    – RAR compressed file (without password)

    사용자 삽입 이미지

    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 8. 31. 13:55

    IDA Pro Version 5.5 Free Download



    http://www.hex-rays.com/idapro/idadowndemo.htm

    사용자 삽입 이미지

    The evaluation version has the following limitations

    • it only supports the 80x86 & ARM family : IDA Pro support a large number of other processors.
    • it will only load 80x86 & ARM PE files. The full version of IDA Pro will accept virtually any file, from Atmel ROMs to OS/2 LX executables. See our disassembly gallery for information about the additional processors, operating systems and file formats we support.
    • only the Windows GUI version is included in the archive. IDA Pro runs natively as a Windows GUI or console application and as a Linux Console.
    • the only compiler signatures included are the ones that can be used to produce Windows 32 PE files; the only type information included is for Visual C++ 6 and Borland C++ Builder.
    • this demo contains a demo version of the ARM/Windows CE debugger.
      Please see our ARM/Windows CE debugging tutorial
    • this demo contains a demo version of the Bochs debugger.
      Check the debugger tutorial       NEW!
    • you will not be able to save your work, it will time out after some use, it will not disassemble itself.

    The full version of IDA Pro is not limited in any way, comes with one full year of free e-mail support and one full year of free downloadable upgrades.


    Posted by viruslab
    TAG Demo, IDA Pro, IDA Pro 5.5
    Trackback 0 Comment 4

    댓글을 달아 주세요

    1. Favicon of https://iam-hs.com BlogIcon XeroNic(HS)

      Free Download..;;; .. 순간 Free 버전 출시된걸로 착각하고 들어가봤는데.. oTL;;;
      간혹 외국 유틸들의 경우 헷갈릴때가 있는거 같아요..
      'Free Download' 에.. 종종 낚이는 1人의 넋두리였습니다.. ㅋ

      2009.08.31 17:06 신고 [ ADDR : EDIT/ DEL : REPLY ]
      • Favicon of https://viruslab.tistory.com BlogIcon viruslab

        프리버전과 상용버전과는 다르죠^^

        상용은 회사에 구매 문의해보세요!!

        2009.08.31 17:10 신고 [ ADDR : EDIT/ DEL ]
      • Favicon of https://ezbeat.tistory.com BlogIcon sharememory

        에구.. 동감입니다 ㅜ ㅜ.. 구글에서 특정 파일 치면 Free Download
        정말 많이 나오는... 들어가면.. $$$$$$$$$

        2010.05.27 12:51 신고 [ ADDR : EDIT/ DEL ]
    2. Favicon of http://sinhwasun.tistory.com BlogIcon 신화창조

      저도 낚였네요.ㅜㅜㅜ.. 4.5만 있는 줄 알았는데..!!

      2009.08.31 19:18 신고 [ ADDR : EDIT/ DEL : REPLY ]

    분석도구2009. 8. 31. 13:39

    심비안 악성코드 분석용 - Sisxplorer



    Symbian OS 용 악성코드 분석에 유용한 도구입니다.

    sisxplorer.zip

    사용자 삽입 이미지

    Posted by viruslab
    TAG Sisxplorer, symbian, 심비안
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 8. 31. 13:33

    Process Hacker



    processhacker-1.5-bin.zip

    사용자 삽입 이미지

    NEW/IMPROVED:
    * #2831605 - "Add handle count by type to process properties handle tab"
    * #2836706 - "Signature Column in Processes"
    * Improved kernel modules list
    * Detects custom kernels
    * Performance improvements
    * KTM resource manager information

    FIXED:
    * Windows XP BSODs
    * Incorrect drive letter resolving for file handles
    * Linked token display on x64 



    Posted by viruslab
    TAG Process Hacker
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 8. 31. 13:06

    MalTrap



    maltrap_v0.2a.zip

    MalTrap is a research utility that monitors malware behavior by intercepting API calls and logging results. MalTrap can also be used in other reversing contexts.

    사용자 삽입 이미지
    사용자 삽입 이미지

    MalTrap requires .NET Framework 2.0+ and Visual C++ 2008 Runtimes

    http://www.securitytube.net/Monitoring-API-Calls-on-Windows-with-Maltrap-video.aspx

    Posted by viruslab
    TAG MalTrap
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 8. 29. 11:44

    VMUnpacker V1.3 Public Version



    중국 Sucop(http://sucop.com/) 에서 개발하여 공개한 VMUnpacker V1.3 입니다.

    VMUnpacker.rar

    사용자 삽입 이미지

    VMUnpacker V1.3

        This tool based on the technology of virtual machine, it could unpack various known & unknown packers. It is suitable for unpacking the protected Trojan horse in virus analyses, and because all codes are run under the virtual machine, so they will not take any danger to your system..

        This product is free software; you can download it, install it, copy it and distribute it noncommercially; If you want use it for commercial sale, copy and distribute, you must get the warranty and permission of DSWLAB before(for example, if the anti-virus company want to use it to analyses the Trojan horse in batches, he must get mandate and permission of DSWLAB before).

        By testing, this version could support 61 kinds packers (include more than 300 versions).
      The detailed list:
      
        upx 0.5x-3.01  All Version
        BeRoEXEPacker
        aspack 1.x--2.x   All Version
        PEcompact 0.90--1.76 2.06--2.79   All Version
        fsg v1.0 v1.1 v1.2 v1.3 v1.31 v1.33 v2.0  All Version
        vgcrypt v0.75
        nspack 1.4--4.1  All Version
        expressor v1.0 v1.1 v1.2 v1.3 v1.4 v1.501 
        npack v1.5 v2.5 v3.0
        dxpack v0.86 v1.0
        !epack v1.0 !epack v1.4
        bjfnt v1.2 v1.3
        mew5 mew v1.0 v1.1
        packman v1.0
        PEDiminisher v0.1
        pex v0.99
        petite v1.2 v1.3 v1.4 v2.2 v2.3  All Version
        winkript v1.0
        pklite32
        pepack v0.99 v1.0
        pcshrinker v0.71
        wwpack32 1.0--1.2
        upack 0.1--0.399
        rlpack 1.11--1.19
        exe32pack v1.42
        kbys v0.22 v0.28 
        yoda's protector v1.02 v1.025 v1.03.2 v1.03.3
        yoda's crypt v1.1
        yoda's crypt v1.2 v1.3 v1.xModify
        XJ 
        exestealth  2.72--2.76
        hidepe v1.0 v1.1
        jdpack v1.01 v2.1 v2.13
        jdprotect 0.9b
        PEncrypt v3.0 v3.1 v4.0
        Stone's PE Crypt v1.13
        telock v0.42 v0.51 v0.60 v0.70 v0.71 v0.80 v0.85 v0.90 v0.92 v0.95 v0.96 v0.98 v0.99
        ezip
        hmimys_pack v1.0
        lamecrypt v1.0
        depack
        polyene v0.01
        dragonArmour
        EP Protector v0.3
        PackItBitch
        trojan_protect 
        anti007 v2.5 v2.6
        mkfpack
        yzpack v1.1  v2.0
        spack method1  spack method2
        naked packer v1.0
         
        upolyx v0.51
        stealthPE v1.01   stealthPE v2.2 
        mslrh v0.31 v0.32
        mslrh v0.2 == [G!X]'s Protect
        morphine v1.3 morphine v1.6 morphine v2.7
        rlpack full edition
        EXEFog v1.1
        ASDPack
        PEBundle
        Neolite


    VM Unpack Engine SDK:

    The commercial VM Unpack Engine SDK will be provided solemnly (VM Unpack Engine SDK).

    Use VM Unpack Engine SDK, the developer does not need to care about the unpacked course and method, only needs to transmit the data to VMUE SDK, VMUE will finish analyzing and unpacking automatically. VMUE supports to send the result of unpacking to the file and memory at the same time,  and returns OEP after unpacking directly, It help you unpack packers in your products and tools.
       
    Rebuild PE file after unpacking, such as repair the import table, Overlay, etc. offer the essential condition that rebuilding can running EXE program.

    VMUE SDK includes the following part mainly:

     Relevant dynamic or static link libraries
     VMUE SDK technological white paper and the document about the interface of SDK
     Codes of calling VMUE SDK
     Packer's signature library in binary
     Other auxiliary routines and codes

    Welcome to use this software and feedback the question to support@dswlab.com
       
    If you have any question in using, send us email and we will try to help; please post the unpacked program in mail; it is better that you post the packed tool of the program.
    Email: support@dswlab.com.
       
    Supercop:Kill various kinds of Trojan horse completely, protect the security of system in an all-round way.
    more free tools download:http://www.dswlab.com
    Specialized desktop and safe products of content :http://www.unnoo.com




    Posted by viruslab
    TAG MUnpacker V1.3
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 8. 28. 08:40

    무료 백신 받기



    대표적인 무료 백신들입니다. (알파벳 순서)

    http://alyac.altools.co.kr

    사용자 삽입 이미지

    http://security.naver.com

    사용자 삽입 이미지

    http://v3lite.com/main.do

    사용자 삽입 이미지




    Posted by viruslab
    TAG V3Lite, 네이버, 무료백신, 안철수 연구소, 알약, 이스트소프트, 피시그린
    Trackback 1 Comment 0

    댓글을 달아 주세요

    분석도구2009. 6. 26. 10:49

    [Interviews] ICESWORD 제작자



    IceSword 제작자 사이트
    http://pjf.blogcn.com/index.shtml (개인블로그)
    http://mail.ustc.edu.cn/~jfpan/ (중국과학기술대학)

    SKINFOSEC-CHR-010-ICEsword 분석 매뉴얼.pdf

    사용자 삽입 이미지

    IceSword Author Speaks Out On 'Rootkits'

    Computer users in the Western world had better adjust to the fact that excellent software is coming from China and will initially be available only in Chinese.
    That's the situation with IceSword, a program I wrote about on May 31 and June 7. IceSword is a remarkably effective tool against "rootkits," virus-type programs that can evade detection by ordinary antivirus products. IceSword is available only in a Chinese-language version. Using several search engines, I was able to find dozens of comments about the program in Chinese-language sites, but not a single mention in English.

    The one exception was the site of Hacker Defender, a rootkit package that's sold in a basic version for 20 euros (about $25 USD) and "silver" and "gold" versions for up to 450 euros. The package's author, who calls himself "holy_father," has written on his site that currently the only antirootkit tool that can detect Hacker Defender (HxDef) is IceSword. He called it "such a nice tool, [a] real challenge," adding, "One of my priorities this summer [will be] to beat IceSword."

    The author of IceSword is a Chinese programmer who goes by "pjf_" in online postings. I was finally able to track down pjf_ and interview him through an intermediary. (After discovering an e-mail address pjf_ once used in a discussion forum, I sent a message requesting his full name, but my communication went unanswered.)

    The following interview was conducted for me in Chinese by Ming Jin, a researcher who works with eEye Digital Security, based in southern California. I had the responses translated into English by Zhen Wang, a professional translator in Beijing.

    IceSword's Strengths and Weaknesses

    Q: How could a rootkit bypass IceSword?

    PJF_: For the newly released version 1.10, it's not known that a rootkit can bypass IceSword. In theory, a rootkit could bypass IceSword, but it has got to get into IceSword's kernel. However, this is not easily done in a short period of coding/programming.

    While programming IceSword, I thought of a way a rootkit might bypass it and how to deal with this. However, for IceSword's stability, I didn't add such functionality. IceSword will be upgraded as new rootkits are released.

    Actually, it is more reasonable that a rootkit could break IceSword, not just bypass it. Yet, attempting to do so could make a rootkit visible to IceSword. An easier way would be to analyze IceSword completely, and cut down its linking between the kernel and the user interface. This could be done in a new version [of a rootkit].

    Detecting Hacker Defender

    Q: How does IceSword detect Hacker Defender? (By enumerating services, and finding hidden ones, I would guess.)

    PJF_: Hacker Defender is a strong rootkit, and the Gold and Silver Hacker Defender packages are more potent. Many antirootkit programs, such as Rootkit Revealer and BlackLight, can't detect Hacker Defender. (Such statements can be found on the Web site of the author of Hacker Defender.) I haven't got the Gold and Silver packages. But on the author's home page, it is stated that Hacker Defender cannot evade IceSword. And IceSword is continually improving.

    Regarding the public version of HxDef, IceSword can detect all the hidden stuff, such as files, register maps, processes, services, and so on. My techniques can detect such a rootkit and quarantine and clean it. In addition, a tool called Ishelp in IceSword version 1.10 is also very helpful in detecting rootkits.

    Comparing IceSword with Other Antirootkit Programs

    Q: Is IceSword better than Rootkit Revealer or BlackLight?

    PJF_: I think that the user is in a position to make such a judgment. In my opinion and after many tests, IceSword looked more stable in many cases. However, each software program has its own unique features and strengths. Some rootkit writers have their own comments and they are in a better position in making judgments.

    Other Features of IceSword

    Q: Does IceSword do anything else?

    PJF_: IceSword also does a pretty good job of breaking the protection of a potent rootkit over processes, files, and register maps. For example, if a rootkit uses a filter driver to disable writing and deleting files, IceSword can detect this and clean it up.

    I've developed a new version, which has such features as a firewall, file protection, and driver monitoring. Not all of this is written using publicly documented Microsoft code. This version cannot be released before it has been thoroughly tested on multiple platforms.

    F-Secure Responds Regarding BlackLight

    I asked F-Secure, the publisher of BlackLight, and SysInternals.com, the publisher of Rootkit Revealer, for their reaction to pjf_'s assertion that IceSword can detect rootkits that their products cannot.

    "We have heard of the IceSword tool and have no doubt that it is a capable rootkit detector," says Mikael Albrecht, product manager for F-Secure, which is headquartered in Helsinki, Finland. "The question about what antirootkit tool is the best is hard to answer. We agree with pjf_'s point that rootkit detectors are different and are focused on different use cases and users. It is, in addition to that, worth noting that the Windows rootkit scene is new and rapidly developing.

    "Rootkit detection is a cat-and-mouse game. Sometimes the rootkit authors are ahead, sometimes the antirootkit authors. We can at the moment detect all rootkit samples that we have access to, but that may change as soon as a new, more advanced rootkit is published. We will naturally respond with improved detection when that happens. There are still no signs that this race will slow down. This makes it even harder to name the best antirootkit tool. ...

    "Rootkit technology is not a big problem at the moment. The number of affected systems is a small fraction compared to the number of virus infections. We must, however, be prepared to handle virus outbreaks that install rootkit technology in a large number of systems. It is important that the security industry has got technology that is mature enough when it happens. Every cycle with improved rootkits and antirootkit tools gives us better ability to handle situations like that."

    SysInternals.com did not respond to my request for comment.

    Conclusion

    IceSword has a Windows Explorer-like interface but displays hidden processes and resources that Windows Explorer would never show. It isn't a "click-here-to-delete-rootkits" product but a sophisticated discovery tool that can protect against sinister rootkits if used before they infect a machine.

    IceSword's documentation is entirely in Chinese, but that wouldn't necessarily stop dedicated IT administrators from downloading the software and trying it on a test Windows PC. I encourage security professionals to look into this further and let me know what you learn.

    IceSword is downloadable from Xfocus.net, a Chinese security site, in compressed RAR format at Xfocus.net/tools/200505/1032.html.

    Update as of 2005-11-15: An English-language version of the program is now available for download from the following Web page:

    http://xfocus.net/tools/200509/1085.html

    http://itmanagement.earthweb.com/columns/executive_tech/article.php/3512621


    Posted by viruslab
    TAG IceSword, 아이스스워드
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 6. 5. 09:38

    [Forensic] MS Office Malware Trace



    OfficeMalScanner is a MS office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams.

    It supports disassembly and hexview as well as an easy brute force mode to detect encrypted files. Next to this, an office file is being scanned for VB-macro code and if found, it will be extracted for further analysis.

    http://reconstructer.org/code/OfficeMalScanner.zip

    사용자 삽입 이미지




    Posted by viruslab
    TAG OfficeMalScanner, TOOL, 악성코드, 오피스
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 5. 9. 16:15

    [TOOL] 웹 사이트 코드 분석에 사용하는 도구



    특정 웹 사이트의 소스를 분석하거나 코드를 수정하여 재입력할 수 있다.

    사용자 삽입 이미지


    Posted by viruslab
    Trackback 0 Comment 3

    댓글을 달아 주세요

    1. 비밀댓글입니다

      2009.05.11 13:12 [ ADDR : EDIT/ DEL : REPLY ]

    2. 비밀댓글입니다

      2010.06.02 22:23 [ ADDR : EDIT/ DEL : REPLY ]

    3. 비밀댓글입니다

      2016.08.04 16:49 [ ADDR : EDIT/ DEL : REPLY ]

    분석도구2009. 5. 8. 13:45

    [UTIL] Win XP Home 보안설정 권한



    윈도우 XP Home 버전에서 안전모드 부팅 없이 보안설정 권한을 주는 프로그램

    최근에 시스템폴더에 접근하지 못하는 권한 설정 문제가 다수 보고되고 있다.

    FileSecPatch.exe

    Security patch for folders and files

    If folders and files are on a NTFS disk drive part, it can be determined which users have access rights onto these files and files.
    With the professional version of Windows XP in the property dialog of the respective folders and files the necessary adjustments can be carried out.
    With the Home version this security dialog page lacks. The use of restricted user accounts is complicated by that enormously.

    The dialog for the security adjustment for files lies in the file for shell extensions with the name rshx32.dll. From this file the program produces now a patched copy with the name rshx32_p.dll. The entries for rshx32.dll are changed in the Windows registration database and added a key that does belief to the patched copy Windows would work in the protected mode.

    Instructions:
    Start the program FileSecPatch.exe with admin-rights.
    Click on the button Install patch
    The patch is immediately effective. With files and folders you have now a security page.

    You would like this patch not, you can remove it through a click on patch remove.
    Important: no original files are changed or replaced!

    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 3. 20. 10:23

    [Tool] 중국에서 보내온 도구



    ICE SWORD 와 기능들이 비슷하다.

    화면만 부분공개

    사용자 삽입 이미지


    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 2. 4. 12:20

    [Tool] GPG



    http://www.gpg4win.org/download.html

    설치할 때 다음과 같은 프로그램을 선택하여 설치한다.
    • GnuPG 1.4.5      (필수) GNU Privacy Guard - 실제 암호화 기능 툴
    • WinPT 1.0.0       (필수) Front-end GnuPG program for Windows - 키 생성/관리 툴
    • GPA 0.7.4          (옵션) GNU Privacy Assistant - 키 생성/관리 툴
    • GPGol 0.9.90 **      (옵션) Outlook 2003을 위한 이메일 암호화/해독 플러그인
    • GPGee 1.3.1      (옵션) 윈도우 탐색기용 오른쪽 마우스 메뉴 파일 암호화 플로그인
    • Sylpheed-Claws 2.4.0 (필요없음) - GnuPG 모든 기능을 지원하는 이메일 클라이언트
    • Gpg4win für Einsteiger 2.0.2 (필요없음) - 독일어 매뉴얼
    • Gpg4win für Durchblicker 2.0.2 (필요없음) - 독일어 매뉴얼
    ** Outlook Express 사용자는 Gpg4win에 포함되어 있지 않은 GPGOE plug-in을 설치하면 된다.


    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2009. 1. 7. 13:16

    [Tool] A malware identification and classification tool



    http://code.google.com/p/yara-project/

    YARA is a tool aimed at helping malware researchers to identify and classify malware samples. With YARA you can create descriptions of malware families based on textual or binary patterns contained on samples of those families. Each description consists of a set of strings and a Boolean expression which determines the its logic. Let's see an example: 

    rule silent_banker : banker
{
    strings: 
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}  
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

    The rule above is telling YARA that any file containing one of the three strings must be reported as silent_banker.

    This is just a simple example, more complex and powerful rules can be created by using binary strings with wild-cards, case-insensitive text strings, special operators, regular expressions and many other features that you can find explained in YARA's documentation.

    YARA is multi-platform, running on Windows, Linux and Mac OS X, and can be used through its command-line interface or from your own Python scripts using the yara-python extension.

    More examples

    The following are real-life examples of how to use YARA rules to identify malware families. 

    rule zbot : banker
{
     strings: 
  	$a = "__SYSTEM__" widechar
	$b = "*tanentry*"
	$c = "*<option"
	$d = "*<select"
	$e = "*<input"

     condition:
 	($a and $b) or ($c and $d and $e)
}

rule banbra : banker
{
    strings: 
  	$a = "senha" fullword nocase
	$b = "cartao" fullword nocase
	$c = "caixa" 
	$d = "login" fullword nocase
	$e = ".com.br"

     condition:
	#a > 3 and #b > 3 and #c > 3 and #d > 3 and #e > 3 		
}


    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요

    분석도구2008. 12. 14. 00:42

    [Analysis] GreyMagic Online Script Decoder



    대부분 수작업으로 디코딩 하지만 참고적으로 많이 알려진 온라인 디코더 사이트를 하나 소개합니다.

    이외에도 다양한 형태의 서비스가 존재하니 구글링을 해보시면 도움이 되실 것 같습니다.

    GreyMagic Online Script Decoder
    http://www.greymagic.com/security/tools/decoder/



    Posted by viruslab
    Trackback 0 Comment 0

    댓글을 달아 주세요