악성코드 분석2 RegFsNotify (2) 레지스트리 변화 알림 참고 도서 : [악성코드 분석가의 비법서 Malware Analyst's Cookbook and DVD] 저자 : 마이클 할레 라이, 스티븐 어드에어, 블레이크 할스타인, 매튜 리차드출판사 : 에이콘 레지스트리 변화 알림은 레지스트리의 키 또는 서브키에 대한 변화가 생겼을 때 알림을 받을 수 있지만, 어떤 키가 변경되었는지를 찾는 일은 분석자가 해야 한다. 즉, 레지스트리에는 파일 변화처럼 ReadDirectoryChangesW와 동일한 함수가 존재하지 않는다. 사전에 보존 목록을 생성 (Regshot와 유사)하고 무엇이 추가, 수정, 또는 삭제됐는지를 살펴봄으로써 이 문제를 해결할 수 있다. 또는 순환적으로 레지스트리를 파싱해 알림을 받은 시간에 마지막으로 써진 타임스탬프를 점검할 수 있다. 레지스트리.. 2016. 7. 7. 랜섬웨어 샘플 분석 (5) Buster Sandbox Analyzer : RegDiff Buster Sandbox Analyzer를 이용한 분석 (5)[ RegDiff.txt ]분석 환경 : Windows 7 기존의 레지스트리와 달라진 레지스트리를 확인한다. 랜섬웨어는 자기 자신을 복제한다. 아래의 경로 (...\Roaming)에 존재하는 rdsytpf.exe가 원본 랜섬웨어의 복제 파일이다. machine\software\microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43\Blob = 190000000100000010000000749966CECC95C1874194CA7203F9B6200300000001000000140000000563B8630D62D75ABBC8AB1E4BDFB.. 2016. 7. 6. 이전 1 다음