의심파일 수집 방법(IceSword)
1) 아래의 파일을 임의의 폴더에 다운로드 받아 압축을 해제합니다. [IceSword 다운로드 (클릭)]2) 다운로드 받은 파일의 압축을 풉니다.3) IceSword.exe를 실행합니다. 3) 왼쪽의 [File]을 클릭합니다. 4) 의심파일이 위치한 경로로 이동하여
악성코드 분석을 방해하는 패킹 (2)
이전 글에 패킹된 파일을 언패킹한 후 메모리 덤프까지 하였습니다. 그럼, 이번 글에서는 IAT를 복구하는 방법을 다뤄보겠습니다. IAT를 복구하는 데 사용될 툴은 ImportRec을 사용하도록 하겠습니다. 우선, “Attach to an Active Process” 옵션으로
악성코드 분석을 방해하는 패킹 (1)
소프트웨어를 패킹할 때 주목적은 protection과 compressor입니다. protection을 목적으로 하는 패킹의 경우 Armadillo, Thermida 등이 있으며 compressor를 목적으로 하는 패킹의 경우 UPX 등이 있습니다. 그러면 여기서 잠깐… 왜 분석가는 패커를
내 PDF 파일은 안전할까?
1. 서론 최근 PDF 관련 취약점이 많이 나오며 PDF 파일에 악의적인 스크립트가 삽입되는 사례가 많이 발견되고 있습니다. PDF 파일에 악의적인 스크립트가 삽입되었는지 여부를 확인하기 위해 이 문서를 작성합니다.
DarunGrim을 이용한 패치된 부분 알아내기
우리는 윈도우 파일에 보안상의 취약점이 발견되면 윈도우 업데이트를 통해 패치를 받습니다. 패치를 받고나면 해당 파일은 패치가 되고 취약점을 이용한 악의적인 공격을 사전에 방지할 수 있게 됩니다. 패치가 된 파일은
패킷을 훔치는 ARP Spoofing 공격 탐지 툴 (2)
이전 글에 이어서 ARP Spoofing 을 탐지하는 툴에 대해서 소개하겠습니다. 물론, 커맨드 창에서 arp -a 명령을 내려서 ARP Cache 상태를 확인하여 ARP Spoofing 공격 여부를 알 수도 있습니다만 이번
패킷을 훔치는 ARP Spoofing 공격 탐지 툴 (1)
금주에 ARP Spoofing 공격을 하는 악성파일이 이슈가 있어서 (그냥 지나치기에는 너무나 아쉬운 ^^) 공격 방법과 탐지 방법 및 대처 방법에 대해서 살펴볼까 합니다. 우선, OSI 7 Layer의 2계층에서
WFA로 악성코드 감염시간을 알수 있다?
윈도우 파일 분석툴 Windows File Analyzer(이하 WFA)는 Thumbs.db, Prefetch, index.DAT, Shortcut 파일 등 윈도우에서 제공하는 여러가지 기능의 파일을 분석할 수 있는 유용한 분석툴이다. 먼저, 실험에 앞서 WFA툴을 이용하여
NTFS 파일 시스템의 숨겨진 영역
NTFS파일 시스템에는 숨겨진 영역이 있습니다. 우선, 맥킨토시 파일 시스템에 관하여 언급해야 할 것 같습니다. 맥킨토시 파일은 아래와 같이 두 가지 영역이 있습니다. DATA RESOURCE 위와 같은 파일구조를 가진
결재를 요구하는 허위백신 대처하는 방법 2
가짜백신을 만들어 돈을 많이 벌었나 봅니다. 2009년 1월 부터 AntiVirus 2009 –> System Security 2010 –> Home AntiVirus 2010, 벌써 세 번째 업데이트네요. 돈벌이가 되니 계속 만들어 내고