훈훈훈

이번 자료는 K-shieldjr 분석대응 과정에서 악성코드 분석파트를 맡아주신 누리랩 최원혁 대표님께 동의를 받고 강의 내용 중 복습을 위해 정리한 내용입니다. 1. 분석 대상: 미켈란젤로 바이러스 * 특징 1) 플로피 및 하드디스크 MBR 감염 2) 주메모리를 2KB 축소 3) INT13h 후킹 ( INT13h : 하드웨어 관련 인터럽트 ) 4) 3월 16일 되면 하드디스크 파괴 2. 분석 목표: 부트 바이러스의 시초라고 할 수 있는 미켈란젤로 바이러스 분석을 통해 부트 바이러스의 동작 패턴을 파악한다. 3. 분석 과정 1) 악성코드 진입 michelangelo segment byte public assume cs:michelangelo, ds:michelangelo; Disassembly by Dar..

이번 자료는 K-shieldjr 분석대응 과정에서 악성코드 분석파트를 맡아주신 누리랩 최원혁 대표님께 동의를 받고 강의 내용 중 복습을 위해 정리한 내용입니다. 1) 특징 - .com인 파일을 대상으로 감염 시킨다. - 감염된 파일은 100Byte 크기 증가 - 전위형 바이러스 2) 실습 환경 - 운영체제 : Windows 7 32bit - 분석도구 : MS-DOS DEBUG 3) 감염 대상 임의의 값을 입력하여 감염 대상인 "waveLab.txt" 란 파일을 생성했다. "Mini-100" 바이러스는 확장자가 ".com" 대상으로 감염시키기 때문에 감염 대상파일 확장자를 ".txt" => ".com" 으로 변환했다. 감염되기 이전 파일의 크기는 8byte 이다. 4) 분석 과정 감염대상이 있는 폴더에서 ..

이번에는 JavaScript 난독화에 대해 다루어볼려고 한다.난독화는 소스 코드를 보호하는 목적으로 사용한다.하지만 때론 이 기법이 악의적인 목적으로 사용될 경우 악성코드를 보호하는 기술로 이용된다.그렇기 때문에 악성코드를 분석하는 입장에서 난독화된 코드를 해석하는 기법은 매우 중요하다고 할 수 있다.이제 난독화가 무엇인지 어떻게 진행하는지 살펴보자. - 난독화란 ? : 컴퓨터는 이해할 수 있지만, 사람이 코드를 보았을떄 이해하기 어려운 수준으로 만드는 것이라 정의할 수 있다. - 난독화의 목적 1) 보안 장비 우회 2) 분석 난이도 증가 -> 분석 시간 지연 3) 결과적으로 악성코드 배포 기간 연장 - JavaScript를 이용한 난독화 실습 : 이제 JaveScript를 사용해서 난독화 실습을 하려고..

이번에 다룰 주제는 Keylogger 분석입니다. 아직 미숙한 실력인지라 기초적인 분석만 진행하였습니다.분석은 정적 분석과 동적 분석을 각각 진행 하였고 실습 환경은 Windows 7 64bit 가상 환경에서 진행하였습니다. 1. 분석대상 악성코드 샘플은 www.virusign.com 에서 받았습니다. 해당 사이트에 들어가서 원하는 종류의 악성코드를 검색하면 쉽게 구할 수 있습니다. 2. 정적 분석 해당 악성코드를 다운받으면 윈도우 미디어플레이어 아이콘을 가진 파일임을 확인 할 수 있습니다. 파일명을 확인했을 때 "SCANDAL" 이라는 문자열과 ".MP4"라는 문자를 확장자를 속이고 있는 것을 확인 할 수 있다. 'HashCalc'툴을 이용해서 샘플 악성코드의 해쉬 값을 추출해보았다.그 다음 추출된 M..