본문 바로가기

Study/리버싱14

RegFsNotify (2) 레지스트리 변화 알림 참고 도서 : [악성코드 분석가의 비법서 Malware Analyst's Cookbook and DVD] 저자 : 마이클 할레 라이, 스티븐 어드에어, 블레이크 할스타인, 매튜 리차드출판사 : 에이콘 레지스트리 변화 알림은 레지스트리의 키 또는 서브키에 대한 변화가 생겼을 때 알림을 받을 수 있지만, 어떤 키가 변경되었는지를 찾는 일은 분석자가 해야 한다. 즉, 레지스트리에는 파일 변화처럼 ReadDirectoryChangesW와 동일한 함수가 존재하지 않는다. 사전에 보존 목록을 생성 (Regshot와 유사)하고 무엇이 추가, 수정, 또는 삭제됐는지를 살펴봄으로써 이 문제를 해결할 수 있다. 또는 순환적으로 레지스트리를 파싱해 알림을 받은 시간에 마지막으로 써진 타임스탬프를 점검할 수 있다. 레지스트리.. 2016. 7. 7.
RegFsNotify (1) 파일 시스템 변화 알림 참고 도서 : [악성코드 분석가의 비법서 Malware Analyst's Cookbook and DVD] 저자 : 마이클 할레 라이, 스티븐 어드에어, 블레이크 할스타인, 매튜 리차드출판사 : 에이콘 참고 사이트 :- [위키백과] 콜백- [Joinc] winapi 알림 기반 도구는 콜백 함수를 틍록해 파일 시스템의 변화를 탐지한다. 콜백 함수는 감시하고 있는 디렉터리에 있는 파일을 임의의 프로세스가 변화시킨 경우 윈도우가 실행하는 개발자 정의 액션 (Programmer-defined action)이다. CallBack프로그래밍에서 콜백(callback)은 다른 코드의 인수로서 넘겨주는 실행 가능한 코드를 말한다. 콜백을 넘겨받는 코드는 이 콜백을 필요에 따라 즉시 실행할 수도 있고, 아니면 나중에 실행할.. 2016. 7. 7.
Registry 참고 사이트 :- [나무위키] 레지스트리- [위키백과] 윈도우 레지스트리 레지스트리란, Microsoft Windows 운영 체제의 설정 및 정보를 담고 있는 데이터베이스다. 모든 하드웨어, 운영 체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 사용자 PC 선호도 등에 대한 정보와 설정이 들어 있다. 사용자가 제어판 설정, 파일 연결, 시스템 정책, 또는 설치된 소프트웨어를 변경하면, 이에 따른 변경 사항들이 레지스트리에 반영되어 저장된다. 레지스트리는 성능 카운터와 현재 사용하고 있는 하드웨어와 런타임 정보를 노출하면서 윈도우를 커널의 운영 체제 안에 제공한다. 구조레지스트리는 키와 값이라는 두 가지 기본 요소를 포함하고 있다. 레지스트리 키는 폴더와 비슷하다. 값.. 2016. 7. 6.
PE Structure (3) DLL 참고 도서 : [리버싱 핵심원리 : 악성 코드 분석가의 리버싱 이야기] 저자 : 이승원출판사 : 인사이트 참고 사이트 :- [위키백과] 동적 링크 라이브러리- [WIKIPEDIA] Dynamic-link library- [Microsoft] DLL은 무엇입니까?- [텀즈] DLL (dynamic link library)- [sck.pe.kr] DLL이란 무엇인가? DLLDLL (Dynamic Linked Library)은 우리말로 '동적 연결 라이브러리'라고 하며 마이크로소프트 윈도우에서 구현된 동적 라이브러리이다. 코드와 데이터를 지니고 있으며 동시에 하나 이상의 프로그램에서 사용할 수 있다. 내부에는 다른 프로그램이 불러서 쓸 수 있는 다양한 함수들을 가지고 있다. 사용 방법(1) 묵시적 링킹 (Im.. 2016. 6. 29.
PE Structure (2) PE 헤더 참고 도서 : [리버싱 핵심원리 : 악성 코드 분석가의 리버싱 이야기] 저자 : 이승원출판사 : 인사이트 참고 사이트 :- [Microsoft] IMAGE_NT_HEADERS structure- [Microsoft] IMAGE_FILE_HEADER structure- [Microsoft] IMAGE_OPTIONAL_HEADER structure- [Microsoft] IMAGE_DATA_DIRECTORY structure- [Microsoft] IMAGE_SECTION_HEADER structure PE Structure (1) PE 포맷 에서 확인한 바와 같이 PE의 기본 구조는 아래와 같다. 여기서 PE 헤더에 대해 알아보도록 합니다. 실제 구조의 확인은 PE Structure (1)에서 참조했던 n.. 2016. 6. 29.

티스토리툴바