본문 바로가기

Home

 (10)
[PE파일 분석 실습] 악성 데이터를 리소스섹션에 임베드한 MW분 개요- 리소스 세션에 임베드된 악성코드를 이용하기 위해서는,FindResourceW, SizeofResource, LoadResource, LockResource 함수가 주로 쓰인다. - 샘플파일은, FindResourceW함수를 사용하여, BINARY_INJECTOR 리소스에 mscredw32.exe 파일을 생성한다. - 생성된 mscredw32.exe의 경우, C:\Users\user\AppData\Roaming\Microsoft\Credentials 경로에 cred.dll 파일을 생성하여 악성행위를 진행할 것으로 예상함. 샘플파일 : b7d39a1c904445e44c1a2092ae7eac6341 정적분석 => IDA1.1 텍스트뷰, Imports 텝에서 현재 임포트된 API목록 확인v..
윈11에서 VMWare vcpu-0 에러 악성코드 분석을 위한 첫단계, VMWare 설치후 가상머신을 실행하기까지 큰 고비를 겪었다.. 설치 버전은 VMware16 버전에, 로컬 환경은 다음과 같다.os : win11 procpu : i5-12800k vmware 설치는 무난했으나,, win7x32 및 win10x32 ios 를 임포트하고, 머신을 power on 하면,, vcpu-0 에러가 발생하며 바로 종료되던가, 부팅까지 됐으나, 스냅샷을 찍으면 동일한 에러가 뜨며 종료되는 현상. 인터넷에 검색된 에러 해결방법은 모두 시도하였지만 해결되지 않았고, 3일 고생끝에 새로운 방법을 발견하였다. 시도했던 방법들을 나열하면 다음과 같다. 1. 하이퍼바이져 관련 모두 off ㄴ vmware와 충돌문제로 off시켜 준다2. 메모리무결성 off ..
[PE파일 분석 실습] 프로세스 인젝션을 수행하는 MW 분석 개요- 프로세스 인젝션을 진행하기 위해서는, OpenProcess, WriteProcessMemory, VirtualAllocEx, CreateRemoteThread 함수가 주로 사용된다. - 실습할 샘플파일은, OpenProcess 함수를 사용하여, 현재 PC에서 동작중인 explore.exe의 PID를 찾아 핸들값을 얻는다. - C:/Windows/system32에 위치할 것으로 예상되는 rdshost.dll 의 dll 파일명을 WriteProcessMemory 함수를 이용해 삽입한다. 1 파일 구조 확인 => PEview 샘플파일 : 6c070365264b23bd21c90b34e05e8a0 파일의 구조를 확인하기 위해 PEview를 사용해 파일을 열고, 아래와 같은 지표들을 확인한다...
악성코드(Malware) 주요 행위 분석 및 개념 악성코드 분석을 하기 위해, 악성코드의 주요행위와 윈도우의 관련 개념을 살펴 본다. 악성코드 주요 행위 목록 악성코드는 다양한 목적과 방식으로 동작하지만, 일반적으로 다음과 같은 주요 행위들을 공통적으로 나타낸다. 따라서 악성코드 분석시, 주의깊게 살펴보게되는 대표적인 행위목록은 다음과 같다. 분류주요 행위설명1. 권한 상승 및 은닉루트킷 설치시스템의 핵심 영역을 은폐하여 탐지 회피*루트킷 : Root (최고 권한) + Kit (도구 모음)→ 시스템의 루트 권한을 탈취하거나 유지, 그리고 자신 또는 다른 악성코드의 존재를 은폐하기 위한 도구 세트UAC 우회사용자 계정 컨트롤 우회로 관리자 권한 획득보안 솔루션 무력화백신, EDR, 방화벽 등의 종료 또는 우회정상 프로세스 위장예: svchost.exe..
PE 파일 분석 개요 PE 파일이란?1. 단어적 의미 Portable Executable File Format  - Portable : 이동, 이식 가능한 - Executable : 실행가능한 => 이동 가능하게 설계되어 있으며 실행할 수 있는 파일의 구조.* 하지만 PE 파일은 Windows에서만 동작하므로 완전한 의미의 "이동 가능"은 아님 2. 위키피디아 참조 Windows에서 실행할 수 있는 파일의 형식을 정의한 구조.즉, Windows 실행 파일(.exe, .dll, .sys 등)의 표준 파일 포맷을 의미윈도우 버전이 바뀌더라도 실행가능하도록 한 바이너리 파일 구조. +윈도우 로더가 실행 가능한 코드를 관리하는데 필요한 정보들을 캡슐화한 데이터 구조체+링킹을 위한 동적라이브러리 참조, API 익스포트, 임포트 테이블..
2025 정보처리기사 전략 (실기) 1. 합격 기준정보처리기사 실기 시험의 합격 기준은 최소 득점 기준과 전체 평균 점수로 나누어집니다.각 문제 최소 득점 기준:실기 시험에서 각 문제에 대해 60점 이상을 받아야 합니다. 만약 한 문제라도 60점 미만을 받을 경우, 해당 문제는 불합격 처리됩니다.전체 점수 기준:실기 시험의 전체 점수가 60점 이상이면 합격입니다. 각 과목에서 개별적으로 60점 이상을 얻고, 실기 시험의 전체 점수도 60점 이상을 받아야 합격합니다.2. 시험 일정2025년 정보처리기사 실기 시험 일정은 한국산업인력공단의 홈페이지에서 확인할 수 있습니다. 일반적으로 상반기와 하반기 두 번의 시험 기회가 제공됩니다. https://www.q-net.or.kr/crf021.do?id=crf02101&gSite=Q&gId=&sch..
2025 정보처리기사 정보 (필기) 정보처리기사 필기 시험 (2025년 기준)정보처리기사 시험은 크게 5개의 주요 과목으로 구성되어 있습니다. 각 과목은 객관식(선택형)으로 출제되며, 각 과목의 중요도가 비슷합니다. 필기 시험에서는 총 100문제가 출제되며, 각 과목의 비율은 대체로 다음과 같습니다. 1. 합격 기준정보처리기사 필기 시험의 합격 기준은 각 과목의 최소 득점 기준과 전체 평균 점수로 나눠집니다.각 과목 최소 득점 기준:필기 시험에서 각 과목은 40점 이상을 얻어야 합니다. 만약 한 과목이라도 40점 미만을 받을 경우, 그 과목은 불합격 처리됩니다.전체 평균 점수:필기 시험 전체 평균 점수가 60점 이상이어야 합격할 수 있습니다.따라서, 필기 시험에 합격하려면 각 과목의 최소 득점을 만족하고, 전체 평균 점수도 60점 이상이 ..
악성코드 유형 악성코드란?악성코드는 시스템, 네트워크 또는 데이터를 손상시키거나 무단으로 접근하려는 목적으로 설계된 프로그램이나 파일입니다. 다양한 종류의 악성코드가 존재하며, 각기 다른 방식으로 피해를 줍니다.   Avast 에서 제공하는 기업이 직면한 악성코드 유형 8Avast는 다양한 악성코드 유형에 대응하는 보안 솔루션을 제공하고 있습니다. 특히, Avast의 안티바이러스 엔진은 바이러스뿐만 아니라 스파이웨어, 트로이 목마 등 다양한 종류의 악성코드를 자동으로 검사합니다. *Avast 에서 기업이 직면한 악성코드 유형 8가지 정리 및 예방법 소개종류설명특징 요약예방 방법1 바이러스다른 프로그램이나 파일에 자신을 삽입하여, 실행될 때마다 다른 파일이나 프로그램을 감염시키는 악성코드. 컴퓨터 시스템에서 복제되어 확..

티스토리툴바