반응형 정적분석2 악성코드 기초 분석 툴 종류 및 사용법 정적 분석 PEid파일의 패커와 컴파일러 분석PEview파일의 헤더, 섹션 등 파일 내부 정보 분석실행 영역설명.text실행 코드를 담고 있음IAT(Import Address Table) 정보를 포함한다..rdata문자열과 상수 등을 담고 있는 영역으로 읽기 전용이다..data전역 변수와 Static 변수의 할당을 위해 존재하는 영역이다.읽기와 쓰기가 가능하다..idata존재 시 임포트 함수 정보를 저장하고 있으며, 존재하지 않는다면 .rdata 섹션 내의임포트 함수 정보에 저장됨.edata존재 시 익스포트 함수 정보를 저장하고 있으며, 존재하지 않는다면 .rdata 섹션 내의익스포트 함수 정보에 저장됨.pdata64비트 실행 파일에만 존재하며, 예외 처리 정보를 저장함.rsrc실행 파일에 필요한 리소스.. 2024. 8. 26. 악성코드 기초 분석 툴 종류 및 설명 정적 분석 툴 FreeUPX파일이 패킹되어 있을 때PEviewPE(MZ) 파일인지 확인Section 유무섹션에 데이터가 없으면 이상 파일로 파악 추정할 수 있음section.rsrc 부분에 실제 악성코드 수행 부분이 숨겨져 있는 경우도 있음 (MZ)Bin Text / pe studio함수 파악, 악성 행위를 유추할 수 있음String 분석pestudio - blacklist에서 TI정보 확인 가능bintext 하단부 유니코드 확인. 유니코드에서 이상 확인 후 Unicode 로 넘어가서 분석Resource hackersection.rsrc(리소스) 부분을 더 자세히 볼 때 사용 동적 분석 툴sysanalyzer (실행이 안되는 DLL의 경우)옵션의 경우 전부 선택하여 실행 시 많은 정보 획득- Delay(.. 2024. 8. 26. 이전 1 다음 반응형