실습을 위한 분석도구 목록과 풀이하면서 도움이 되었던 정보를 모아보았습니다. 출판사 홈페이지 실습에 필요한 lab을 다운받을 수 있음. https://nostarch.com/malware Practical Malware Analysis Download Chapter 12: "Covert Malware Launching" (PDF) Download the labs Visit the authors' website for news and other resources "The book every malware analyst should keep handy." —Richard Bejtlich, CSO of Mandiant & Founder of TaoSecurity nostarch.com 사용 하는 분석도구 정적..
악성코드 분석 실습을 위해 VMware - windows XP에서 apate DNS를 사용할일이 종종있습니다. 그런데 윈도우 xp 에서 아래와 같은 창이 뜨며 실행이 안되는 경우가 있습니다. 이는 netframework가 설치되어있지 않아 발생하는 문제로 xp에서 사용가능한 .NET Framework를 설치해 주면 해결됩니다. xp에서 사용할 수 있는 버전은 3.5 버전입니다. https://dotnet.microsoft.com/ko-kr/download/dotnet-framework/net35-sp1 .NET Framework 3.5 SP1 다운로드 | 무료 공식 다운로드 .NET Framework 3.5 SP1을(를) 사용하여 애플리케이션을 빌드하고 실행하기 위한 다운로드. .NET Framework..
실전 악성 코드와 멀웨어 분석 실습 1-1 또는 Practical Malware Analysis Labs lab01-01.exe를 실행했을 때 문제에 관한 이야기입니다. lab01-01.exe 예제의 경우, 실행하면 C:\WINDOWS\system32 경로에 kerne132.dll이 생성되어야 합니다. 그러나 lab01-01.exe를 더블클릭하여 실행하였을 때 아무런 파일도 생성되지 않는 문제가 있습니다. 처음엔 방화벽이나 기타 보안프로그램에 의해 차단된 것인 줄 알았으나 알고 보니 lab01-01의 경우 파라미터를 입력하지 않으면 kerne132.dll이 생성되지 않도록 되어있었던 것입니다. kernel파일의 경우 시스템에 매우 중요하므로 이런 식으로 사전에 조치를 취해 놓은 것 같습니다. 이는 IDA..
올리디버그 64bit 버전이 아닌 구버전 - 1.1.0 버전을 사용 시 시작하면 아래와 같은 창이 뜰 수 있습니다. 이는 udd 폴더가 해당위치에 없기 때문에 발생하는 문제입니다. ollydbg가 있는 폴더에 UDD, Plugin 폴더를 각각 생성합니다. 다음, 다시 올리디버그를 실행시켜 Option - Appearance 클릭합니다. Directiories 항목을 클릭한 다음, 아까 생성했던 폴더들의 위치를 찾아 지정해 줍니다. 올리디버그를 종료하고, dll 파일들을 Plugin 폴더에 넣어줍니다. 재시작하면 플러그인들이 제대로 들어와 있는 것을 확인할 수 있습니다.
아래는 리소스 해커의 공식 홈페이지입니다. https://www.angusj.com/resourcehacker/ Resource Hacker -action action to be performed on the opened file add - add a resource, but fails if it already exists addoverwrite - add a resource, and overwriting if it already exists addskip - add a resource, but skipping if it already exists compile - compiles a re www.angusj.com PracticalMalwareAnalysis의 실습 파일들은 대부분 윈도우 xp에서 실행..
