14주차 분석도구 실습

 

Currports

 

- 네트워크 연결을 모니터링하고 관리할 수 있는 무료 유틸리티 프로그램

- 포트를 표시하고 이용하고 있는 프로세스를 보여주는 프로그램

- 원하지 않는 연결을 차단, 포트를 개방하는 프로세스를 추적 및 종료

- 식별되지 않는 소프트웨어의 포트 개방 감시 가능

 

ProcessMonitor

- 시스템 모니터링 도구

- 실시간으로 파일 시스템, 레지스트리, 프로세스 및 스레드 활동을 모니터링

- 사용자 레벨 이벤트 감지

Process Explorer

- Windows 운영 체제에서 실행 중인 프로세스와 관련된 정보를 실시간으로 제공

- 시스템의 성능 문제를 진단하고, 특정 프로세스의 상세 정보를 확인하는 데 매우 유용

- 시스템 성능 문제를 진단하고, 특정 프로세스의 리소스 사용량 확인

Autoruns

- 윈도우를 시작할 때 실행되는 시작 프로그램 및 서비스를 확인하는 프로그램

- 평상시의 시작 프로그램 목록을 저장 한 후,

  악성코드 의심 파일을 실행한 후의 시작 프로그램을 비교하여 공격 여부 확인

Smsniff

- 네트워크 패킷 스니핑 도구

- 네트워크 문제를 진단하고, 보안 분석을 수행

- 네트워크 성능을 모니터링하는 데 유용

Wireshark

- 네트워크 트래픽을 분석하고 디버깅할 수 있는 프로토콜 분석기

- 네트워크 패킷을 실시간으로 캡처하고 상세히 분석

- 악성 소프트웨어가 네트워크를 통해 어떤 데이터를 주고받는지 확인

BinText

- 파일의 바이너리 내용을 검사, 텍스트 문자열 추출

- 악성코드 분석이나 파일 내용 확인에 유용

 

악성코드 분석은 크게 정적, 동적분석으로 구분

 

정적분석은 기초분석, 정적분석으로 나누어지고

 

기초분석은 바이러스 토탈 등올 수행

 

암호화된 경우 EXEINFO로 패킹 먼저 확인 언패킹 한 후

 

BINTEXT로 문자열들 평문으로 확인

 

문자열 중에서도 IP 도메인 실행파일명, 명령어 사용이력, 함수 등 확인

 

IP주소나 도메인 주소가 나왔다? - 동적분석도구 와이어 샤크 등으로 확인

 

PEVIEW는 패킹유무 파일 확장자 함수 등확인

 

동적분석 파일 레지스트리 영역 / 프로세스영역 / 네트워크 영역 으로 구분

 

파일 레지스트리 - 악성샘플에 의해서 파일이라 레지스트리가 위변조 되었는지 확인

 

프로세스 쪽은 프로세스 모니터 등으로 눈으로 안보이는 프로세스들을 확인

 

네트워크 쪽은 와이어 샤크로 수행