본문 바로가기
정보보안/리버싱

리버싱) 기초 정적 분석과 기초 동적 분석

by _miiiiiin_zzang_ 2021. 4. 12.

기초 정적 분석 : 실행하지 않고 간략하게 분석하는 것

기초 동적 분석 : 실행하면서 간략하게 분석하는 것


기초 정적 분석

- 악성코드 분석 시 가장 먼저 실행

- 프로그램 기능을 파악하기 위해 코드나 프로그램의 구조를 분석

- 프로그램 실행을 하지 않음

- 악성 여부 판단 / 악성코드 판별 해시 사용 / 파일의 문자열, 함수 등 확인

 

virustotal.com

파일 첨부 시 악성코드 여부 확인 가능

해시값은 바이러스토탈에서도 구분이 되지만 인터넷에 못올리는 경우가 있음

그럴 떄 사용하는 것이 

 

WinMD5.exe

빈 창에 드레그 시 해시값 확인 가능

 

 

Strings.exe

프로그램 내부의 문자열 검색 프로그램

문자열 출력을 하여 확인 가능

 

PEiD

패킹 여부를 확인하고 언패킹하기

 

PEview

PE 구조 세부 확인

컴파일 시간 알 수 있음
peview

해당 내용을 보면 파일을 찾아 존재 여부를 확인하는 것으로 파악

peview

dll파일을 보면 소켓(ws2_32.dll)이 존재하는 것을 확인 가능 - 이런건 백도어가 아닐까 하는 것

 

 

Size of Raw Data(원래 데이터 크기)보다 Virtual size(가상크기)가 크다면 다른 파일을 올리기 위한 것으로 의심 가능

섹션 이름이 변경되었을 경우에도 의심

 

PEiD

패킹 여부 확인 가능

해당 악성 파일은 C++로 작성된 것임을 확인(패킹이 안 되어 있음)

Dependency Walker

DLL 의존성 검사

 

Resource Hacker

리소스 확인

바이너리 확인 (This is program cannot be run in DOS = exe 파일임을 추측 가능, Dropper임)

댓글