<실전 악성코드와 멀웨어 분석> 실습을 위한 분석도구 목록과 풀이하면서 도움이 되었던 정보를 모아보았습니다.
출판사 홈페이지
실습에 필요한 lab을 다운받을 수 있음.
사용 하는 분석도구
정적분석을 위한 도구들
virus total
https://www.virustotal.com/gui/home/upload
PEID
https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
현재 PEID 홈페이지는 만료되어서 softpedia 웹사이트 링크를 드립니다.
UPX
https://github.com/upx/upx/releases/tag/v4.2.1
PEView
http://wjradburn.com/software/
Hashcalc
slavasoft 공식 홈페이지는 접속불가로 파일을 업로드합니다.
Dependency Walker
winodws XP 환경에서는 2.2 x86 버전을 사용합니다.
https://www.dependencywalker.com/
bintext
ResourceHacker
현재 5.2.7 버전이 최신 버전이나 이 버전은 windowsXP에서 동작하지 않습니다.
이에 대한 해결방법은 리소스해커 windowsXP 에서 사용하기 를 참조하세요.
아래는 공식사이트 입니다.
https://angusj.com/resourcehacker/
Ollydbg
올리디버거의 최신버전은 2.01버전이나 WindowsXP에서 동작하지 않습니다.
따라서 왼쪽사이드바의 download를 클릭한뒤 페이지 아래에있는 OllyDbg 1.10버전을 다운받습니다.
아래는 메모리 덤프를 뜰 때 유용한 플러그인인 OllyDumpEx입니다. windows XP에서 사용하기 위해서는 가장 오래된 버전인 1.4 버전을 다운받습니다.
https://low-priority.appspot.com/ollydumpex/
Ida free
현재 ida공식홈페이지에서 제공하는 ida 8.x 버전은 windows xp 에서 사용불가능하므로 windows 7 이상의 os 에서 사용해야한다.
Ida Pro free 라는 비상업용 pro버전 프로그램도 있다고한다.
https://hex-rays.com/ida-free/#download
동적분석을 위한 도구들
Regshot
SysAnalyzer
접속하여 왼쪽 사이드 바의 Download Installer 클릭
사용시 주의사항 : api log 메뉴에서 좌우 스크롤이 생성되지 않는 문제가 있는데, crtl + "+" key 를 눌러주면 된다 .
http://sandsprite.com/iDef/SysAnalyzer/
Inctrl5
https://www.hiren.info/downloads/freeware-tools/page/8
홈페이지가 연결이 되지않아 파일을 첨부합니다.
ProcMon
Procexp
https://naado.tistory.com/13?category=1377353
systemexplorer
apate DNS
https://fireeye.market/apps/211380
AutoRun
Wireshark
https://1.na.dl.wireshark.org/win32/all-versions/
도움이 되는 정보들
import되는 함수들이 악성코드에서 어떻게 사용되는지에 대한 설명
https://gist.github.com/404NetworkError/a81591849f5b6b5fe09f517efc189c1d#accept-top
악성코드에서 자주 사용되는 DLL 정리