[Reversing] PE-sieve 도구 by Hasherezade
[Reversing] Pe-sieve 도구 by Hasherezade 트위터를 보다가 PE-sieve 업데이트 소식을 듣고 잘 사용하면 편리하기에 해당 도구에 대해 작성한다.PE-sieve는 실행중인 프로세스를 추출하는 것으로 악성 행위를 주입한 프로세스를 .exe 파일로 만들어주는 도구이다. 악성 행위라면 여러 인젝션이 될 수도 있으며 Process Hollowing 등을 말한다.해당 도구 사용법은 간단하며 자세한 내용은 구글링이나 https://github.com/hasherezade/pe-sieve 참고하면 될 것 같다. 모든 악성 파일에 적용이 가능하지는 않지만 최근 자주 유포되는 이력서로 위장한 Makop 랜섬웨어인 악성파일로 설명해보겠다. 먼저 (그림 1)을 보게 되면 해당 Makpo 악성파일..
[Reversing] 패킹(Compressor, Protector), Packer, Crypter
[Reversing] Packer, Crypter, and Protector 참조> https://blog.malwarebytes.com/threat-analysis/2015/12/malware-crypters-the-deceptive-first-layer/ Packing패킹은 포장한다는 의미로 두가지 종류로 분류할 수 있다.첫번째로는 파일 사이즈를 줄이는 목적으로 컴프레서가 있으며 대표적으로 UPX 패커가 있다 실행 압축이라고도 불린다. 두번째는 파일을 보호하는데 목적으로 프로텍터가 있다. 사이즈는 늘어나지만 안티리버싱이나 난독화를 통해 분석이 어렵도록 한다. Compressor 일반적으로 'runtime packers" 약자이다. 해당 기술은 실행 가능한 압축으로 이런 종류의 압축은 파일을 더 작게 ..
- Total
- Today