analysis

Volatility Linux Profile 생성

volatility-2.2-rc2(modify).tar.gz 다운로드 Volatility 2.2 버전에는 Linux 메모리 분석을 위한 기능이 새롭게 추가되었습니다. (링크) 프로세스,네트워크 정보를 포함하여 정보를 추출하기 위한 기능이 존재하고 있고 RC1 버전 기준으로 기본적으로 제공되는 Linux Profile은 없습니다. Volatility Wiki에서 프로파일 생성법을 제공하고 있으나 사용되는 Tool은 RC1 버전에는 포함되어 있지 않아 Source 탭에서 해당 소스를 별도로 다운받아 사용해야합니다.  2012년 9월 18일자로 업데이트된 RC2버전에서 … Read more

CyCommMech 분석

※ 명령 형식이나 사용법 등이 cyc.help 파일에 자세히 정의되어 있어 특이한 사항만 작성해 보았습니다.CyCommMech는 오픈소스 IRCBot인 EnergyMech을 변형하여 제작된 것으로 추측되며 UDP Flooding 툴인 Stealth와 함께 배포되었습니다.기본적인 실행 옵션은 아래와 같습니다. 옵션 설명   -f   read configuration from  -c   make core file instead of coredebug/reset  -r   run only for seconds  -d   start mech … Read more

Windows 메모리 덤프 생성 및 분석

1. 메모리 Dump 수집-FTK Imager FTK imager는 디스크, 메모리, 레지스트리 Hive 파일 Dump를 지원하는 무료 도구입니다.GUI 환경이라 손쉽게 사용가능하고 안정적인 Dump가 가능한 것이 특징입니다.-Win32/64dd Win32/64dd는 Moonsols Windows Memory Toolkit 중 일부로써, 윈도우 Crash Dump 형식을 지원하고 네크워크를 통해 Dump 파일을 저장 가능한 것이 특징입니다.2. 메모리 분석 툴-Redline Mandiant에서 제공하는 GUI환경의 무료 메모리 분석 도구입니다.Raw Dump 파일 및 Redline의 … Read more

Windows 레지스트리 분석

레지스트리는 윈도우의 주요 설정값을 보유하고 있는 데이터베이스 파일이며 시스템에 하이브 파일로 저장되어 있습니다. -하이브 파일 위치  레지스트리  하이브  HKLM\BCD00000000  {Boot Partition}\Boot\BCD  HKLM\COMPONENTS  %SystemRoot%\System32\Config\COMPONENTS  HKLM\SYSTEM  %SystemRoot%\System32\Config\SYSTEM  HKLM\SAM  SystemRoot%\System32\Config\SAM  HKLM\SECURITY  %SystemRoot%\System32\Config\SECURITY  HKLM\SOFTWARE  %SystemRoot%\System32\Config\SOFTWARE  HKU\  %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT  HKU\  %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT  HKU\  %UserProfile%\NTUSER.DAT  HKU\_Classes  %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat  HKU\.DEFAULT  SystemRoot%\System32\Config\DEFAULT  HKLM\HARDWARE  휘발성 1. 수집 및 분석 준비 하이브 파일은 대부분 시스템에의해 열려있어 일반적인 방법으로는 복사가 … Read more

Zbot 악성코드

(sample)page.7z 다운로드 ###프로세스 생성실행파일명.exe 2회 생성 후c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성 svshost.exe>rundll32.exe 생성 후 사라짐 ###네트워크senmobert.dlinkddns.com DNS 쿼리 요청 ###레지스트리HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성  (윈도우 시작시 실행) uwlyipoc 서비스 생성 ###파일 생성실행 파일은 삭제c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sysc:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.batc:\DOC~1\계정명\Appl~1\Maob\uxzi.exe ###기타 1.코드는 델파이로 작성되었음2.메일 관련해서 무언가의 동작하는거 같음 3.복사된 uxzi는 38200h부터 저장되는 파일의 끝부분이 다른 값을 가지고 있음.38200h의 첫 4byte는 동일하며 해당 부분은 헤더의 시작을 … Read more

[일반]Win32.Trojan.Pearmor.416768

Win32.Trojan.Pearmor.416768.pdf 다운로드 (Sample)Win32.Trojan.Pearmor.416768.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

[일반]Win32.FlyStudio.Worm.1289331

Win32.FlyStudio.Worm.1289331.pdf 다운로드 (Sample)Win32.FlyStudio.Worm.1289331.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

[일반]Win32.Xema.worm.307200.E

Win32.Xema.Worm.307200.E.pdf 다운로드 (Sample)Win32.Xema.worm.307200.E.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다.   PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

2011.1.4 Xema worm 동적 분석 메모

프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun   145 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue   0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell  explorer.exe c:windows\system32\sserver.exe system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe

[상세]VBS.Autorun.7474

VBS.Autorun.7474.pdf 다운로드 (Sample)VBS.Autorun.7474.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다.   PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!
바로가기