forensic (18) 썸네일형 리스트형 악성코드 추출, 탐지 분석용 도구 Pe-Sieve 안녕하세요 테크넷 마스터 김재벌 입니다. 간만에 보안 쪽 관련 포스팅을 준비해 봅니다. 이번에는 PE-SIEVE 라는 도구 입니다. 이 도구는 간결한 오픈소스 기반 도구로 git 을 통해서 배포 되고 있습니다. git clone --recursive https://github.com/hasherezade/pe-sieve.git 명령을 통해 하위 모듈과 함께 가져 올 수 있습니다. 윈도우 버전의 테스트 빌드는 아래 링크를 통해 받을 수 있습니다. 해당 도구의 사용법은 매우 간단합니다. 명령어 수행시 /pid 를 붙여주면 됩니다. 작업 관리자나 process explorer 등의 도구를 이용하여 의심 스러운 프로세스의 PID를 옵션으로 넣어주면 바로 덤프와 추출을 해 줍니다.이 도구는 실행중인 멀웨어를 탐지.. comae.io 메모리 분석 도구 모음 ( dumpit ) 포함 안녕하세요 테크넷 마스터 김재벌 입니다..^^ 침해사고 대응을 위해서 다양한 도구가 활용되는데 , 그중에 메모리 포렌식을 위해 메모리 덤프는 필수적이죠. 그중에 널리 사용되는것이 moonsols 의 dumpit 인데 , 어느날 찾아보니 , 사이트가 리뉴얼 되고 툴 구하는게 어려워져서 저도 가지고 있는 버전만 활용했었습니다. 그런데 , moonsols 가 아래 사이트로 변경되고 툴도 세트 형태로 나오더군요. https://my.comae.io/login 해당 도구를 다운 받기 위해서는 회사 메일이 있어야만 가능하고 , 인증 메일로만 로그인도 가능해서 공부하시는 분들이 활용하기에는 어려워 보여서 아예 다운 받아서 공유해 둡니다. dumpit 이외에도 Bin2DMP.exe , DMP2Bin.exe , Hibr.. plaso 를 이용한 log 분석 ( log2timeline ) 1. 설치 https://github.com/log2timeline/plaso/wiki/Windows-Packaged-Release - python 2.7 - vcredist_x86.exe 2. Download.zip https://github.com/log2timeline/plaso test_data 폴더에 다양한 실습 파일 존재 3. 실습 https://github.com/log2timeline/plaso/wiki/Using-log2timeline log2timeline.exe test.plaso registry_test.dd psort -a -q test.plaso 안티포렌식 slacker 를 이용한 슬랙 공간 활용 안녕하세요 테크넷 마스터 김재벌 입니다. 좀 고전(?)이라면 고전이 도구인 slacker.exe 입니다.해당 파일은 암호가 걸려 있습니다. ( 악성코드로 탐지 됨. - 크롬 ) slacker를 이용하여 슬랙 공간을 조작할 수 있는데 , 자료는 제법 많은데 툴 다운로드 링크가 많이 끊어졌네요.그래서 , 찾아서 다운로드 링크해 둡니다. 해당 매뉴얼은 http://www.jbbrowning.com/sandbox/slacker_how_to_101.pdf 여기에서 구했습니다. 동일 합니다. 메모리 포렌식 분석랩 #2 - 스턱스넷 분석 보호되어 있는 글입니다. 메모리 포레식 분석랩 보호되어 있는 글입니다. Process Hacker 2.19 릴리즈 시스템에서 사용중인 다양한 프로세스에 대한 모니터링이 필요한 시기는 여러가지 목적으로 사용 됩니다. 특정 프로세스로 인한 시스템 부하를 확인하기 위한 목적으로도, 악성 프로그램에 대한 동적 분석 분석 및 메모리 분석을 위해서도 많이 사용합니다. 이러한 도구로는 MS (sysinternals)의 Process Explorer 가 가장 널리 알려져 있고 사용되어 왔습니다. 이와 더불어 Process Hacker 라 불리우는 프로그램을 소개 하고자 합니다. 첨부된 버전은 포터블 버전입니다. 해당 프로그램은 http://processhacker.sourceforge.net/ 에서 다운로드 가능하며 , 오픈소스 제품이라서 소스가 공개되어 있습니다. 또한, 설치 버전과 포터블 버전 모두 제공해주기 때문에 쉽게 사용.. Malware Analyzer 3.1 악성프로그램을 분석하는 도구는 시중에 꽤나 많이 나와 있지만, 무료이면서 쓸만한 도구는 생각 보다 많지 않습니다. http://malwareanalyser.blogspot.com/ 여기에서 다운 받을 수 있는데 , 저작자는 Analyser 라고 표기 했네요... 고유명사여서 Analyser 로 표기할까 했는데 , 그래도 인식이...^^; 해당 프로그램은 파이썬 기반으로 다양한 기능을 제공해 주지만, 반대로 사용하는데는 약간의 불편함(?)이 따릅니다. GUI 가 아닌 CLI 방식이라... 이번 버전은 2011.6월에 발표된 버전으로 3.1 이며 , 아래와 같은 다양한 기능을 제공합니다. 링크가 불안하진 않지만, 간혹 링크가 끊어지는 사이트들도 있어서 첨부해서 올려 놓습니다. Malware Analyser .. 이전 1 2 3 다음
