본문 바로가기
반응형

analysis12

Volatility Linux Profile 생성 Volatility 2.2 버전에는 Linux 메모리 분석을 위한 기능이 새롭게 추가되었습니다. (링크) 프로세스,네트워크 정보를 포함하여 정보를 추출하기 위한 기능이 존재하고 있고 RC1 버전 기준으로 기본적으로 제공되는 Linux Profile은 없습니다. Volatility Wiki에서 프로파일 생성법을 제공하고 있으나 사용되는 Tool은 RC1 버전에는 포함되어 있지 않아 Source 탭에서 해당 소스를 별도로 다운받아 사용해야합니다. 2012년 9월 18일자로 업데이트된 RC2버전에서 Tool도 함께 포함이 되었습니다. 해당 Tool에 대한 테스트는 Ubuntu 11(32bit), Fedora 10(32bit), Fedora 17 (64bit) 에서 진행하였습니다. Profile 생성에 앞서 d.. 2012. 9. 17.
CyCommMech 분석 ※ 명령 형식이나 사용법 등이 cyc.help 파일에 자세히 정의되어 있어 특이한 사항만 작성해 보았습니다. CyCommMech는 오픈소스 IRCBot인 EnergyMech을 변형하여 제작된 것으로 추측되며 UDP Flooding 툴인 Stealth와 함께 배포되었습니다. 기본적인 실행 옵션은 아래와 같습니다. 옵션 설명 -f read configuration from -c make core file instead of coredebug/reset -r run only for seconds -d start mech in debug mode -s process spoof -o write debug output to -h show this help -v show EnergyMech version -s 옵션은.. 2012. 9. 12.
Windows 메모리 덤프 생성 및 분석 1. 메모리 Dump 수집-FTK Imager FTK imager는 디스크, 메모리, 레지스트리 Hive 파일 Dump를 지원하는 무료 도구입니다.GUI 환경이라 손쉽게 사용가능하고 안정적인 Dump가 가능한 것이 특징입니다. -Win32/64dd Win32/64dd는 Moonsols Windows Memory Toolkit 중 일부로써, 윈도우 Crash Dump 형식을 지원하고 네크워크를 통해 Dump 파일을 저장 가능한 것이 특징입니다. 2. 메모리 분석 툴-Redline Mandiant에서 제공하는 GUI환경의 무료 메모리 분석 도구입니다.Raw Dump 파일 및 Redline의 Collector로 수집한 Audit 파일을 통한 분석이 가능하며 Process, Network, Driver 등의 정.. 2012. 8. 8.
Windows 레지스트리 분석 레지스트리는 윈도우의 주요 설정값을 보유하고 있는 데이터베이스 파일이며 시스템에 하이브 파일로 저장되어 있습니다. -하이브 파일 위치 레지스트리 하이브 HKLM\BCD00000000 {Boot Partition}\Boot\BCD HKLM\COMPONENTS %SystemRoot%\System32\Config\COMPONENTS HKLM\SYSTEM %SystemRoot%\System32\Config\SYSTEM HKLM\SAM SystemRoot%\System32\Config\SAM HKLM\SECURITY %SystemRoot%\System32\Config\SECURITY HKLM\SOFTWARE %SystemRoot%\System32\Config\SOFTWARE HKU\ %SystemRoot%\Ser.. 2012. 7. 31.
Zbot 악성코드 ###프로세스 생성 실행파일명.exe 2회 생성 후 c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성 svshost.exe>rundll32.exe 생성 후 사라짐 ###네트워크 senmobert.dlinkddns.com DNS 쿼리 요청 ###레지스트리 HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성 (윈도우 시작시 실행) uwlyipoc 서비스 생성 ###파일 생성 실행 파일은 삭제 c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sys c:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.bat c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe ###기타 1.코드는 델파이로 작성되었.. 2012. 5. 9.
[일반]Win32.Trojan.Pearmor.416768 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 3. 8.
[일반]Win32.FlyStudio.Worm.1289331 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 3. 6.
[일반]Win32.Xema.worm.307200.E ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2012. 1. 10.
2011.1.4 Xema worm 동적 분석 메모 프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun 145.. 2012. 1. 4.
[상세]VBS.Autorun.7474 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2011. 11. 25.
Win32.Backdoor.Worm.IRCBot.23552 [2011/06/10 Version 1.1] -실행 속도 개선 -인터페이스 개선 -실행 결과 출력 [2011/06/09 Version 1.0] -로컬 디스크,이동식 디스크,램 디스크 등에 남아있는 IRCBot 파일 검색 및 제거 -히든 프로세스로 구동중인 IRCBot 프로세스 제거 -관련 레지스트리 제거 -관련 서비스 제거 2011. 6. 10.
[상세]Win32.Backdoor.Worm.IRCBot.23552 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!! 2011. 5. 10.
반응형

바로가기