Secure Programming Lecture1 : Introduction

Similar documents
Secure Programming Lecture1 : Introduction

수사 방해 시도 탐지를 위한 네트워크 트래픽 모니터링 기술 연구

슬라이드 1

Microsoft Word - Static analysis of Shellcode.doc

PowerPoint 프레젠테이션

예제와 함께 배워보는 OllyDbg사용법

신종파밍악성코드분석 Bolaven

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint - chap01-C언어개요.pptx

슬라이드 1

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Vehicular Communications

DIY 챗봇 - LangCon

2015년 제63차 통신심의소위원회 회의록.hwp

Microsoft Word - building the win32 shellcode 01.doc

Red Alert Malware Report

10 강. 쉘스크립트 l 쉘스크립트 Ÿ 쉘은명령어들을연속적으로실행하는인터프리터환경을제공 Ÿ 쉘스크립트는제어문과변수선언등이가능하며프로그래밍언어와유사 Ÿ 프로그래밍언어와스크립트언어 -프로그래밍언어를사용하는경우소스코드를컴파일하여실행가능한파일로만들어야함 -일반적으로실행파일은다

문서의 제목 나눔고딕B, 54pt

PowerPoint 프레젠테이션

thesis

PowerPoint 프레젠테이션

PowerPoint Template

Microsoft Word - poc_script1.doc

Observational Determinism for Concurrent Program Security

슬라이드 1

8장 문자열

< E20C6DFBFFEBEEE20C0DBBCBAC0BB20C0A7C7D12043BEF0BEEE20492E707074>

Cuckoo Sandbox (Automated Malware Analysis) Bolaven

<C6F9C6AE20BAAFB0E6202D205BB1E2BCFAB9AEBCAD5D57696E646F777320BEC7BCBAC4DAB5E520BAD0BCAE20B0A1C0CCB5E52E687770>

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

PowerPoint 프레젠테이션

EP의주소값이 "RVA : " 인것을볼수있다. 당연히올리디버거에서는해당 EP 값을이상하다고판단하여처음에 "System EP" 에서멈춘것이다. * ImageBase + RVA EP == VA EP == 현재바이너리에적용된프로

Multi Channel Analysis. Multi Channel Analytics :!! - (Ad network ) Report! -! -!. Valuepotion Multi Channel Analytics! (1) Install! (2) 3 (4 ~ 6 Page


기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Microsoft PowerPoint - 김창수 v2.pptx

SMB_ICMP_UDP(huichang).PDF

PowerPoint 프레젠테이션

13.08 ②분석

PowerPoint 프레젠테이션

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

05Àå

게시판 스팸 실시간 차단 시스템

분석기법을우회하는악성코드를분석하기위한프로세스설계 Ⅰ. 서론 인터넷은컴퓨터산업을혁신적으로발전시켰고인터넷의전송속도는나날이빨라지고있다. 그러나이러한긍정적인측면과는반대로역기능또한증가하고있다. 오랜기간에걸쳐전파되던과거바이러스와같은악성코드들이현재는불과몇분또는몇초내로전세계각지로전파

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DC0CCC5C3C7F62DC3D6C1BE>

PowerPoint 프레젠테이션

Week13

디지털TV솔루션 브로셔

ActFax 4.31 Local Privilege Escalation Exploit

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1

0. 들어가기 전

#SC-8200.B.

LXR 설치 및 사용법.doc

The Pocket Guide to TCP/IP Sockets: C Version

Abstract View of System Components

Frama-C/JESSIS 사용법 소개

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

#WI DNS DDoS 공격악성코드분석

1

vm-웨어-01장


1 1. INTRODUCTION 2 2. DOWNLOAD Windows Desktop & Server Max OS X, Linux, Windows CE 2 3. API REFERENCE CAN_OpenVcp CAN_Op

PowerPoint 프레젠테이션

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Adobe Flash 취약점 분석 (CVE )

정적으로 설치된 mod_ssl 모듈확인 동적으로 설치된 mod_ssl 모듈확인 웹서버에 설치된 모듈중 mod_so.c 를 먼저 확인후 동적으로 설치된 모듈중 mod_ssl.so 를 확인합니다. 동적으로 설치된 경우 apache 설치 디렉토리의 module 이나 libe

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

IDA use manual 1.0 Ad2m 1. IDA 기본구성 Menu Bar IDA 기본메뉴 Tool Bar 분석 Tool TAB 기능 (Hex, 그래프등 ) View Navigation Band 파일의코드부분을순차및섹션별색상으로보여줌. Disassembly 함수

PowerPoint Presentation

1217 WebTrafMon II

슬라이드 0

Microsoft Word - CPL-TR NS3.docx

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

Microsoft PowerPoint - Perpect C 02.ppt [호환 모드]

DBPIA-NURIMEDIA

The Pocket Guide to TCP/IP Sockets: C Version

C 프로그래밊 개요

악성코드분석을위한 실행압축 해제기법 1. 개요 이제목을보고 실행압축이뭐야? 하는이도있을테고, 실행하면자동으로압축이풀리는 ZIP 파일과비슷한거아냐? 하고떠올리는이도있을것이다. 그러나여기서설명하는실행압축은그대상이다르다. 흔히말하는 ZIP, RAR처럼데이터들을하나로묶어놓는압

PowerPoint 프레젠테이션

how_2_write_Exploit_4_the_MSF_v3.x.hwp

°í¼®ÁÖ Ãâ·Â

KCC2011 우수발표논문 휴먼오피니언자동분류시스템구현을위한비결정오피니언형용사구문에대한연구 1) Study on Domain-dependent Keywords Co-occurring with the Adjectives of Non-deterministic Opinion

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

(Microsoft PowerPoint - \307\354\301\246\305\251_\301\246\276\310\300\332\267\341_N_00_\300\317\271\335_pd_009)

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

AVN9272Kor_091215

Discrete Mathematics

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

슬라이드 1

2017 년 6 월한국소프트웨어감정평가학회논문지제 13 권제 1 호 Abstract

Sun Java System Messaging Server 63 64

PowerPoint Presentation

임베디드시스템설계강의자료 4 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

PowerPoint 프레젠테이션

github_introduction.key

Transcription:

Malware and Vulnerability Analysis Lecture1 Malware Analysis #1

Agenda 악성코드정적분석

악성코드분석 악성코드정적분석

정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등

정적분석 : 파일식별 악성으로의심되는파일의형태식별 file command python magic(pip install filemagic) https://pypi.python.org/pypi/python-magic(file & libmagic) TrID http://mark0.net/soft-trid-e.html

정적분석 : 파일해시 임의의파일에대한해시값계산 md5sum(linux), md5(os X) python hashlib

정적분석 : ASCII 문자열 악성으로의심되는파일이저장하고있는임의의문자열추출 추출할수있는데이터종류 Domain Name, IP, API, 기타파일에하드코딩으로저장하고있는값

정적분석 : 인코딩 (Encoding) xor & base64 임의의데이터를사용하기전또는저장할때, 위와같은방식으로인코딩또는디코딩하여사용 xor 임의의키를사용하여인코딩하고동일한키를다시한번사용하여디코딩 base64 변환테이블을기반으로하는인코딩 & 디코딩방식으로기본변환테이블을사용할경우, python base64 를사용하여인코딩 & 디코딩

정적분석 : 인코딩 (Encoding)

정적분석 : 인코딩 (Encoding) xor & base64 xor A B A xor B 0 0 0 0 1 1 1 0 1 1 1 0 a xor A = 2

정적분석 : 인코딩 (Encoding) xor & base64 xor

정적분석 : 인코딩 (Encoding) xor & base64 base64 M a n 0 1 0 0 1 1 0 1 0 1 1 0 0 0 0 1 0 1 1 0 1 1 1 0 19 22 5 46 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 A B C D E F G H I J K L M N O P Q R S T Y V W X Y Z 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 a b c d e f g h i j k l m n o p q r s t u v w x y z 52 53 54 55 56 57 58 59 60 61 62 63 0 1 2 3 4 5 6 7 8 9 + /

정적분석 : 인코딩 (Encoding) xor & base64 base64 S o g a n g 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 A B C D E F G H I J K L M N O P Q R S T Y V W X Y Z 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 a b c d e f g h i j k l m n o p q r s t u v w x y z 52 53 54 55 56 57 58 59 60 61 62 63 0 1 2 3 4 5 6 7 8 9 + /

정적분석 : 인코딩 (Encoding) xor & base64 base64

정적분석 : 디스어셈블 실행파일 (Windows : PE, Linux : ELF) 에대한디스어셈블과정을통해직접실행하지않고대략적인코드내용확인가능

정적분석 : 패커 (Packer) Packer 는실행압축을수행하고임의의실행파일코드및데이터난독화 Packer 의사용여부확인및 Packer 확인 LoadLibrary & GerProcAddress API 주요 String(ex. UPX0, UPX1, aspack 등등 ) Packer 식별도구 PEiD LoadPE python peutils in pefile(pip install pefile)

정적분석 : 패커 (Packer)

정적분석 : 패커 (Packer) 패킹전 / 후비교

정적분석 : 패커 (Packer)

정적분석 : 패커 (Packer) 패커탐지 Signature 패커탐지 Signature 는패킹된코드를언패킹하는코드의 opcode Sequence python peutils 을사용하여 Signature 를생성할수있음 https://code.google.com/p/pefile/wiki/peidsignatures

정적분석 : 패커 (Packer)

정적분석 : 패커 (Packer)

정적분석 : 패커 (Packer) 언패킹

정적분석 : 패커 (Packer) 언패킹 with UPX

정적분석 : 패커 (Packer) 언패킹 with UPX

정적분석 : 패커 (Packer) 언패킹 with UPX

정적분석 : 패커 (Packer) (Manual) 언패킹 with UPX

정적분석 : API 분석 임의의 PE 파일이 Import 하는함수분석을통해악성코드에대한대략적인기능유추가능 임의의악성코드가사용하는 API 들과정상적인응용프로그램이사용하는 API 의비교분석 Whitelist 기반분석 오탐 & 미탐

정적분석 : API 분석

정적분석 : API 분석 악성코드가사용하는 API 또는 Sequence 를기반으로탐지 Malware detection using assembly and API call sequences Malware detection using Windows API sequence and Machine Learning Improving the Detection of Malware Behaviour Using Simplified Data Dependent API Call Graph Windows API Based Malware Detection Framework Analysis 기타등등다수의논문

정적분석 : 유사도분석 Total Malware Statistic av-test.org

정적분석 : 유사도분석 Total Malware Statistic av-test.org

정적분석 : 유사도분석 악성코드간의유사도분석을통해변종판별 유사도판단기준 API 호출정보 ASCII 문자열 컴파일환경 디버깅정보 국가코드 명령어코드 Manifest 정보 기타

정적분석 : 유사도분석 악성코드간의유사도분석을통해변종판별 유사도판단기준

정적분석 : 유사도분석 악성코드간의유사도분석을통해변종판별 유사도판단기준

정적분석 : 유사도분석 CTHP(Context-Targeted Piecewise Hash) 문맥을기반으로데이터조각을만들고이를기반으로해시함수적용하여유사도판별 단순한블록 (Fixed Length) 기반유사도비교방식보다는효과적

정적분석 : 유사도분석 ssdeep

정적분석 : 유사도분석 ssdeep in python

정적분석 : 유사도분석 다양한요소를활용한변종탐지 Control Flow-based Malware Variant Detection Malware Variant Detection and Classification Using Control Flow Graph Malware Variant Detection Using Similarity Search over Sets of Control Flow Graphs 기타등등

VirusTotal API VirusTotal VirusTotal 에등록된백신엔진 (50 개이상 ) 을사용하여악성코드검사

VirusTotal API VirusTotal API VirusTotal 는임의의파일을전송하고검사결과를받을수있는개발자 API 제공

VirusTotal API VirusTotal API (File)Scan : https://www.virustotal.com/vtapi/v2/file/scan ReScan : https://www.virustotal.com/vtapi/v2/file/rescan (File)Report : https://www.virustotal.com/vtapi/v2/file/report (Url)Scan : https://www.virustotal.com/vtapi/v2/url/scan (Url)Report : http://www.virustotal.com/vtapi/v2/url/report IpAddress : http://www.virustotal.com/vtapi/v2/ip-address/report Domain : http://www.virustotal.com/vtapi/v2/domain/report Comment : https://www.virustotal.com/vtapi/v2/comments/put

VirusTotal API

VirusTotal API VirusTotal API URL Scan Malicious URL List http://malwaredomainlist.com http://support.clean-mx.de/clean-mx/viruses.php

VirusTotal API VirusTotal API URL Scan Malicious URL List

VirusTotal API

VirusTotal API

Q&A

2024 © docsplayer.org 개인정보보호 | 약관 | 지원