2018-12-12
악성코드배포 방법
- 원격취약점
IDS, IPS는 원격취약점에 주로사용
- 임의의 명령어실행
- 임의의 코드실행
- 실행파일 감염
- 대표적인 예. virus
- 트로이목마
- Dropper
- 정상프로그램+악성코드
- 실행파일구조(실행파일+실행파일)=정적검사(문자열추출)만해도 발각
- Downloader
- 정상실행파일+다운로드기능
- 웹서버에 악성실행파일을 다운로드해서 실행하도록)
- 행위기반, 정적검사에 발각위험다운 but, 인터넷이가능해야함
Dropper
- 윈도우즈 실행파일 구조 (PE Format,File) (->exe,dll확장자는 PE구조사용)
[ 참고 ]
Windows- PE:32bit PE+:64bit //MZ로 시작하면
Linux- ELF
DOS-COFF:16bite 윈도우에서 실행이 안됨
- PEView ; 악성코드분석및 실행함을 인증
- PEexplorer : 좀 더 자세하게 분석가능 (txt.img)
(참고) 백신은 특정부분만 검사함
*오픈소스백신: Clamwin
*오픈소스백신: Clamwin
- PEview
- PEview
- Machine : PE가능한 환경(플랫폼)
- i386 : x86, 32bit
- Sections :5개
[ immunity debugger - m ]
00401000 pointer와 같음
- PE FILE- exe.dll
- exe
- IMAGE_FILE_EXECUTABLE_IMAGE라고 표현되어있으면 exe파일임
- dll
- IMAGE_FILE_DLL로 표현
- ENTRY POINT : 최초로 실행시킬 코드
(참고) RVA(Relative Virtual Address) : Image Base를 기준으로 얼만큼 이동
- 상세주소= RVA + Image Base
Entry point의 pFile을 확인해서
HxD에서 pFile을 따라가서
Entry Point를 바꾸면
Immunity 실행시 지정한 Entry Point에서 시작
IMAGE: PE file 실행 ---(프로세스 실행)-->image
(=프로세스가 활동하는 메모리 공간 : VAS(Virtual Address Space))
하드에 있으면 PE file, 메모리에 있으면 Image
- ASLR(Address Space Layout Randomization)
- 실행할 때마다 다른 주소로 매번 바뀜
- 분석 및 해킹이 어려움 (win7도입) ///win7 ASLR 끄기가 있음
[ 리소스에 게임과 악성코드서버를 추가해서 실행 ->악성코드+프로그램 ]
Downloader
No comments:
Post a Comment