반응형 Rev/Info15 WS2_32.connect 보호되어 있는 글 입니다. 2023. 2. 24. BAT 2 EXE 보호되어 있는 글 입니다. 2022. 6. 16. How to Debug PE 악성코드를 분석하다보면, 디버깅은 뗄래야 뗄 수 없는 분석방법이다. 이 과정에서 실제 악성행위를 하는 부분이나 혹은 분석가가 원하는 부분만을 디버깅하는 것이 중요하다. (나는 실제로 간단한 샘플을 초기에 ntdll부터 디버깅을 해서 아주 고생한적이 있다.) 데이터파일이나 메모리상에 존재하는 쉘코드를 읽어서 특정 프로세스에 주입시키거나, 어떤 지점으로 가고자 할 때 쓰는 방법이 있다. * 해당 dll이나 exe파일이 어떤 데이터파일을 읽어온다면, (주로 CreateFile -> ReadFile -> VirtualAlloc~ ) 그 데이터파일을 올리디버거가 존재하는 동일 경로에 놓아야한다. 쉘 코드의 시작지점이나 아니면 원하는 모듈의 EP를 EB FE(jmp 0x0)로 변경하여 디버깅을 시도한다. 이 .. 2022. 3. 31. 랜섬웨어 주요 암호화 알고리즘 랜섬웨어를 빠르게 분류하기 위해 어떠한 암호화 로직을 사용하는지 파악하고 있는 것이 중요하다. 자세한 내용은 해당 보고서를 읽어보면, 굉장히 좋다! https://www.fsec.or.kr/common/proc/fsec/bbs/163/fileDownLoad/3091.do 간단하게 필요한 부분만 발췌해서 메모해보자. 먼저, 암호화 알고리즘은 대칭키 암호와 공개키 암호로 구분할 수 있는데, 대칭키 암호는 속도가 빠르지만 암/복호화에 동일한 키를 사용하기에 키 확보시에 복구가 가능하다. 공개키 암호는 공개키를 확보해도 개인키를 모르면 복호화가 불가능해서 공격자입장에서는 유리할 수 있지만, 암호화 속도가 느리다는 단점이 있다. 이에따라 공격자는 파일 암호화에는 속도가 빠른 대칭키 암호 알고리즘을 사용하고, 파일.. 2022. 3. 22. 이전 1 2 3 4 다음 반응형
