정보보안(58)
-
pe파일 분석(pe 헤더)
@ PE 파일 분석(PE 헤더) 1. PE 구조 - PE 헤더 : IMAGE_DOS_HEADER, MS-DOS Stub Program, IMAGE_NT_HEADERS, IMAGE_SECTION_HEADER - PE 바디 : 실제 데이터 정보가 있는 영역(text, data, rsrc, reloc) 2. IMAGE_DOS_HEADER - 64Byte로 구성되어 있으며, 19개 필드로 구성되어 있음 - PE 파일 시그니처와 IMAGE_NT_HEADERS의 위치 정보를 갖고 있다. - e_magic : '5A4D' -> MZ -> PE 파일 시그니처를 의미한다. - e_ifanew : IMAGE_NT_HEADERS의 위치를 의미한다. (0x000000D8) 0x000000D8에 504A(PE 파일 시그니처)를..
2020.01.11 -
어셈블리어(레지스터 이해)
@ 어셈블리(레지스터 이해) 1. 어셈블리어 - 기계어가 사용하는 2진수/16진수 숫자들을 사람들이 이해할 수 있게 만든 언어이다. - C 언어는 몇개 안되는 명령어로 프로그램을 제작하는 반면에, 어셈블리어는 같은 프로그램을 제작할 때 몇십줄 이상 코드를 사용한다. 2. 레지스터 - CPU에 존재하는 저장소(메모리, 변수 개념)이며, 작은 데이터를 임시로 저장할 때 사용한다. - 실행 중인 명령어 제어, 산술 연산 처리, 메모리 주소 지정을 실시한다. 1) EAX(Extended Accumulator Register) - 32bit - 16bit 환경에서 AX라고 하며, 상위 8bit를 AH, 하위 8bit AL 이라고 한다. - 산술 연산, 논리 연산을 수행할 때 사용한다. - 함수의 리턴값이 저장되므..
2020.01.11 -
리버싱 선수 지식
@ 리버싱 - 역공학 분석 : 실행 파일을 역으로 분석하는 행위 - 정상적인 리버싱 : 프로그램 분석, 업데이트, 패치, 악성 코드 분석 - 악의적인 리버싱 : 프로그램 크랙, 무단 사용, 시리얼 키 우회, 악성 코드 제작/유포 1. 실행 파일(Excutable File) - 명령어에 의해서 특정 작업을 수행할 수 있도록 생성된 파일(Code, Data 포함되어 있음) - 각각의 운영체제마다 실행 파일 형식은 다음과 같다. Windows PE(Portable Exectable) Linux ELF(Excutable & Linkable Format) MAC Mach-O(Mach Object File Format) 2. 프로그램 & 프로세스 & 프로세서 & 쓰레드 - 프로그램 : 작업을 수행하기 위해서 명령어..
2020.01.11 -
악성코드 기초
악성코드 악의적인 동작을 실시하는 코드가 들어간 실행 파일 / 프로그램 악성코드 배포 목적 개인 및 기업 정보를 탈취 및 수집하기 위한 목적으로 배포함 시스템 , 디스크 , 파일 파괴 삭제, 조작 랜섬웨어와 같은 금전 요구 광고 노출 및 홍보 수단 3 .악성코드 분석 유형 3.1 패킹 여부 확인 실행 파일이 패커에 의해서 압축되어 있는지 프로덱터에 의해서 보호되어 있는지 확인하는 단계 분석 도구로는 exeinfope ,pEid, peview ,ollydbg importrec, loadpe 3.2 기초 정적 분석 악성코드 파일을 실행하지 않고 간략하게 분석하는 단계 악성코드 분석시 가장 먼저 실시하는 단계 분석 내용으로는 pe파일 관련 내용 dll 및 api 목록 확인 , 문자열 분석 도구로는 exeinf..
2020.01.11