All183 RegFsNotify (1) 파일 시스템 변화 알림 참고 도서 : [악성코드 분석가의 비법서 Malware Analyst's Cookbook and DVD] 저자 : 마이클 할레 라이, 스티븐 어드에어, 블레이크 할스타인, 매튜 리차드출판사 : 에이콘 참고 사이트 :- [위키백과] 콜백- [Joinc] winapi 알림 기반 도구는 콜백 함수를 틍록해 파일 시스템의 변화를 탐지한다. 콜백 함수는 감시하고 있는 디렉터리에 있는 파일을 임의의 프로세스가 변화시킨 경우 윈도우가 실행하는 개발자 정의 액션 (Programmer-defined action)이다. CallBack프로그래밍에서 콜백(callback)은 다른 코드의 인수로서 넘겨주는 실행 가능한 코드를 말한다. 콜백을 넘겨받는 코드는 이 콜백을 필요에 따라 즉시 실행할 수도 있고, 아니면 나중에 실행할.. 2016. 7. 7. 랜섬웨어 샘플 분석 (5) Buster Sandbox Analyzer : RegDiff Buster Sandbox Analyzer를 이용한 분석 (5)[ RegDiff.txt ]분석 환경 : Windows 7 기존의 레지스트리와 달라진 레지스트리를 확인한다. 랜섬웨어는 자기 자신을 복제한다. 아래의 경로 (...\Roaming)에 존재하는 rdsytpf.exe가 원본 랜섬웨어의 복제 파일이다. machine\software\microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43\Blob = 190000000100000010000000749966CECC95C1874194CA7203F9B6200300000001000000140000000563B8630D62D75ABBC8AB1E4BDFB.. 2016. 7. 6. Registry 참고 사이트 :- [나무위키] 레지스트리- [위키백과] 윈도우 레지스트리 레지스트리란, Microsoft Windows 운영 체제의 설정 및 정보를 담고 있는 데이터베이스다. 모든 하드웨어, 운영 체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 사용자 PC 선호도 등에 대한 정보와 설정이 들어 있다. 사용자가 제어판 설정, 파일 연결, 시스템 정책, 또는 설치된 소프트웨어를 변경하면, 이에 따른 변경 사항들이 레지스트리에 반영되어 저장된다. 레지스트리는 성능 카운터와 현재 사용하고 있는 하드웨어와 런타임 정보를 노출하면서 윈도우를 커널의 운영 체제 안에 제공한다. 구조레지스트리는 키와 값이라는 두 가지 기본 요소를 포함하고 있다. 레지스트리 키는 폴더와 비슷하다. 값.. 2016. 7. 6. 랜섬웨어 샘플 분석 (4) Buster Sandbox Analyzer : Log_API 참고 도서 : [Practical Malware Analysis: 실전 악성코드와 멀웨어 분석] 저자 : 마이클 시코스키, 앤드류 호닉출판사 : 에이콘 참고 사이트 :- [Microsoft] GetModuleHandle function- [Solvusoft] Vssadmin.exe은(는) 무엇이고 어떻게 해결하죠?- [다시 시작하는 윈도우 프로그래밍] 메모리 이야기 (2)- [zrungee library] 안티디버깅 - IsDebuggerPresent- [Zero's hobby blog.] [winAPI] ProcessToken, AccessToken- [egloos] [API] 핸들이란 무엇인가- [머리 속 하드디스크] 윈도우 핸들 (Window Handle Object)- [티고니세상] 프로세스에 관.. 2016. 7. 5. 랜섬웨어 샘플 분석 (3) Buster Sandbox Analyzer : FileDiff 참고 사이트 : - [Sandboxie] Buster Sandbox Analyzer Buster Sandbox Analyzer를 이용한 분석 (3)[ FileDiff.txt ]분석 환경 : Windows 7 기존의 파일들과 달라진 파일들을 확인할 수 있다. 각 줄의 앞에 붙어있는 기호의 의미는 아래와 같다. 기호 의미 + A new file : A file that is not present in real disk so it's created. - A deleted file : A file that being present in real disk and that was deleted. ~ A modified file : A file that was changed. = A copied file : Sand.. 2016. 7. 5. 이전 1 ··· 27 28 29 30 31 32 33 ··· 37 다음
