<실전 악성코드와 멀웨어 분석> 실습을 위한 분석도구 목록과 풀이하면서 도움이 되었던 정보를 모아보았습니다.
출판사 홈페이지
실습에 필요한 lab을 다운받을 수 있음.
Practical Malware Analysis
Download Chapter 12: "Covert Malware Launching" (PDF) Download the labs Visit the authors' website for news and other resources "The book every malware analyst should keep handy." —Richard Bejtlich, CSO of Mandiant & Founder of TaoSecurity
nostarch.com
사용 하는 분석도구
정적분석을 위한 도구들
virus total
https://www.virustotal.com/gui/home/upload
VirusTotal
Analyse suspicious files and URLs to detect types of malware, automatically share them with the security community
www.virustotal.com
PEID
https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
현재 PEID 홈페이지는 만료되어서 softpedia 웹사이트 링크를 드립니다.
UPX
https://github.com/upx/upx/releases/tag/v4.2.1
PEView
http://wjradburn.com/software/
WJR Software - PEview (PE/COFF file viewer),...
Utilities (for use with Windows® XP operating system or later) PEview provides a quick and easy way to view the structure and content of 32-bit Portable Executable (PE) and Component Object File Format (COFF) files. This PE/COFF file viewer displays heade
wjradburn.com
Hashcalc
slavasoft 공식 홈페이지는 접속불가로 파일을 업로드합니다.
Dependency Walker
winodws XP 환경에서는 2.2 x86 버전을 사용합니다.
https://www.dependencywalker.com/
Dependency Walker (depends.exe) Home Page
Dependency Walker is a free utility that scans any 32-bit or 64-bit Windows module (exe, dll, ocx, sys, etc.) and builds a hierarchical tree diagram of all dependent modules. For each module found, it lists all the functions that are exported by that modul
www.dependencywalker.com
bintext
ResourceHacker
현재 5.2.7 버전이 최신 버전이나 이 버전은 windowsXP에서 동작하지 않습니다.
이에 대한 해결방법은 리소스해커 windowsXP 에서 사용하기 를 참조하세요.
아래는 공식사이트 입니다.
https://angusj.com/resourcehacker/
Resource Hacker
-action action to be performed on the opened file add - add a resource, but fails if it already exists addoverwrite - add a resource, and overwriting if it already exists addskip - add a resource, but skipping if it already exists compile - compiles a re
angusj.com
Ollydbg
올리디버거의 최신버전은 2.01버전이나 WindowsXP에서 동작하지 않습니다.
따라서 왼쪽사이드바의 download를 클릭한뒤 페이지 아래에있는 OllyDbg 1.10버전을 다운받습니다.
OllyDbg v1.10
www.ollydbg.de
아래는 메모리 덤프를 뜰 때 유용한 플러그인인 OllyDumpEx입니다. windows XP에서 사용하기 위해서는 가장 오래된 버전인 1.4 버전을 다운받습니다.
https://low-priority.appspot.com/ollydumpex/
OllyDumpEx Plugin
low-priority.appspot.com
Ida free
현재 ida공식홈페이지에서 제공하는 ida 8.x 버전은 windows xp 에서 사용불가능하므로 windows 7 이상의 os 에서 사용해야한다.
Ida Pro free 라는 비상업용 pro버전 프로그램도 있다고한다.
https://hex-rays.com/ida-free/#download
IDA Free
IDA Free The free binary code analysis tool to kickstart your reverse engineering experience.
hex-rays.com
동적분석을 위한 도구들
Regshot
SysAnalyzer
접속하여 왼쪽 사이드 바의 Download Installer 클릭
사용시 주의사항 : api log 메뉴에서 좌우 스크롤이 생성되지 않는 문제가 있는데, crtl + "+" key 를 눌러주면 된다 .
http://sandsprite.com/iDef/SysAnalyzer/
http://sandsprite.com/iDef/SysAnalyzer/
sandsprite.com
Inctrl5
https://www.hiren.info/downloads/freeware-tools/page/8
Downloads » Freeware Tools » Page 8 » www.hiren.info
Password Recovery is a free toolkit for MS Access databases from 95, 97, 2000, XP, 2002, to 2003. Microsoft Access uses underlying Jet Database Engine, which is used used in a variety of Microsoft products such as Money, Project, IIS, and Exchange. That fr
www.hiren.info
홈페이지가 연결이 되지않아 파일을 첨부합니다.
ProcMon
악성코드 동적 분석 도구 1 procmon (프로세스모니터) 구버전
프로세스모니터는 실행되고 있는 프로세스, 레지스트리작업 등을 실시간으로 모니터링 하는 도구입니다. https://learn.microsoft.com/ko-kr/sysinternals/downloads/procmon 프로세스 모니터 - Sysinternals 파일 시
naado.tistory.com
Procexp
https://naado.tistory.com/13?category=1377353
악성코드 동적 분석 도구 2 process explorer (구 버전 다운 포함)
현재 실행중인 프로세스에 대한 정보 - 핸들(handle), DLL, strings 에대해 볼수 있는 프로그램입니다. 프로세스 모니터와 마찬가지로 공식사이트에서 제공하는 프로그램은 윈도우 8버전 이상만 지원
naado.tistory.com
systemexplorer
System Explorer - Keep Your System Under Control
What is System Explorer? System Explorer is free , awards winning software for exploration and management of System Internals. This small software includes many usefull tools which help you Keep Your System Under Control . With System Explorer You get also
systemexplorer.net
apate DNS
https://fireeye.market/apps/211380
ApateDNS | FireEye Market
Control DNS responses.
fireeye.market
AutoRun
Wireshark
https://1.na.dl.wireshark.org/win32/all-versions/
https://1.na.dl.wireshark.org/win32/all-versions/
1.na.dl.wireshark.org
도움이 되는 정보들
import되는 함수들이 악성코드에서 어떻게 사용되는지에 대한 설명
https://gist.github.com/404NetworkError/a81591849f5b6b5fe09f517efc189c1d#accept-top
Concise Windows Functions in Malware Analysis List
Concise Windows Functions in Malware Analysis List - Windows_Functions_in_Malware.md
gist.github.com
악성코드에서 자주 사용되는 DLL 정리
악성코드의 자주 사용되는 DLL 파일 정리
Kernel32.dll : 메모리 관리, 파일 입/출력, 프로그램 코드/실행 등 기본적인 기능이 내장되어 있다. Windows NT부터는 Kernel32.dll은 트램펄린 역할만을 하며 실제 기능은 ntdll.dll이 가지고 있다. (kernel32.dl
min-12.tistory.com