securityse lab

실전 악성코드와 멀웨어 분석 (Practical Malware Analysis) 실습 풀이

실습 1-2

Lab01-02.exe 파일을 분석하라

질문

1. Http://www.virusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의가 된 것과 일치하는가?

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자

3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?

4. 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?

실습 풀이 보고서 : securityse_tistory_com_PMA_lab1-2.pdf

securityse_tistory_com_PMA_lab1-2.pdf

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 (2011)

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드는 안전행정부(행정안전부)에서 2011년 최초로 공개하였다.

당시 이정도 수준의 취약점 진단 상세 가이드라인은 정보보호전문업체 소속이 아니면 쉽게 접하기 힘든 자료로써 

취약점 진단 분야에 저변을 확대한 계기가 되었을뿐만 많은 관련 연구 및 스터디에 도움이 된 자료로 평가 할 수 있겠다. (개인적으로..)

※ 이전에도 일부 취약점 진단 기준에 대해서 비공식적으로 공개된 자료도 있었지만 이 수준까지는 아니였었다. 

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 (2011) 다음과 같이 구성되어 있다.

- 유닉스 취약점 항목 상세 설명서

- 윈도우즈 취약점 항목 상세 설명서

- 보안장비 취약점 항목 상세 설명서

- 네트워크장비 취약점 항목 상세 설명서

2014년 버전과 비교하면 아무래도 미흡한 점이 많겠지만 두개의 자료를 비교해보는것도 학습에 좋을것이다.

원문 링크는 현 시점에서 알기는 힘들지만 안전행정부(행정안전부)에서 최초로 공개하였다.

기술적_점검항목(2011).pdf

윈도우 프로세스 분석 도구 - Process explorer

다운로드

https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx

윈도우의 프로세스들을 Tree 구조로 손쉽게 볼 수 있다.

프로세스를 클릭하면 DLL, Handle 정보를 확인할 수 있으며, Find 메뉴(Ctrl+f)를 사용하면 

DLL 이나 Handle을 소유하고 있는 프로세스 정보를 확인 할 수도 있다.

프로세스 선택 > 마우스 우클릭 > Properties를 선택하면 Process의 상세 정보를 확인할 수 있다.

해당 프로세스의 String 정보 출력 등 Process Explorer는 프로세스 정보를 확인하는데 막강한 기능을 자랑한다.