본문 바로가기

Study35

Malware Analysis Series (MAS) – Article 10 Alexandre Borges의 블로그 Exploit Reversing에서 포스팅되고 있는 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MAS의 마지막 아티클로 Linux 관련 악성코드 내용입니다. [Introduction]악성코드 분석 시리즈(MAS)의 10번째이자 마지막 아티클에 오신 것을 환영합니다. 이번 글에서는 ELF 악성코드 바이너리 분석에 사용되는 개념, 기법 그리고 실제적인 절차들을 함께 살펴봅시다.이 글은 리눅스 ELF 바이너리 분석에 대한 입문 수준의 내용입니다. 불필요한 세부사항이 처음 접하는 사람들의 지식 형성에 방해되지 않도록 신중하고 천천히 진행하겠습니다. 이 글의 주된 목표는 짧고 단순하며 유익하게 유지하는 것으로,.. 2025. 11. 27.

PE 구조 파싱 (PE Structure Parsing) 이번 글에서는 PE 구조를 파싱하는 방법에 대해 알아보겠습니다. 프로세스 정보를 담고 있는 구조체인 PEB(Process Environment Block)를 이용하여 현재 로드된 모듈(DLL)의 정보를 가져올 수 있습니다._PEB 필드 Ldr은 _PEB_LDR_DATA 구조체의 포인터입니다. _PEB_LDR_DATA 구조체는 현재 프로세스에서 로드된 모듈들의 정보를 담고 있습니다. 이 구조체에는 _LIST_ENTRY 타입의 멤버(InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList)가 있습니다._LIST_ENTRY 타입은 양방향 연결 리스트로 두 포인터 Flink, Blink로 구성되어 있습니다. 이 포인터를 통.. 2025. 6. 11.

Malware Analysis Series (MAS) – Article 9 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MacOS/iOS 내용의 아티클 8은 잠시 미뤄두고 9번째 아티클부터 공부해보겠습니다. [Introduction]악성코드 분석 시리즈(MAS)의 9번째 아티클에 오신 것을 환영합니다. 이번 아티클에서는 윈도우 실행 파일로 돌아와서 PE 포맷뿐만 아니라 일반적인 쉘코드(shellcode)를 다뤄보겠습니다.요즘은 Sliver, Brute Ratel, Havoc, Covenant, Empire, Cobalt Strike 같은 수십 가지의 C2 프레임워크가 있습니다. Cobalt Strike는 실제 red team operation에.. 2025. 5. 2.

Malware Analysis Series (MAS) – Article 7 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MAS 시리즈의 7번째 아티클입니다. [Introduction]악성 PE 바이너리를 분석할 때 사용하는 개념, 기법 그리고 실질적인 절차들을 이번 7번째 악성코드 분석 시리즈(MAS)에서 계속해서 살펴보겠습니다.이번에는 최근 몇 년간 여러 차례 업데이트된 복잡한 뱅킹 트로이목마인 Dridex를 분석할 것입니다. 다른 악성코드와 마찬가지로 Dridex는 자격증명(credental) 정보를 탈취하고(kelogger 행위), 암호화된 C2 서버를 통해 공격자에게 이를 전송합니다. 대부분의 경우 악성 문서에 첨부된 파일로 배포되지만,.. 2025. 4. 29.

Malware Analysis Series (MAS) – Article 6 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MAS 시리즈의 6번째 아티클입니다. [Instruction]6번째 아티클에서는 계속해서 악성 PE 바이너리를 분석할 때 사용되는 개념, 기법, 그리고 실질적인 절차들을 살펴보겠습니다. 지금껏 그랬던 것처럼 분석할 모든 악성코드 샘플은 Triage, Malware Bazaar, VirusTotal, Malshare, Polyswarm 등 잘 알려진 샌드박스 서비스에서 구할 수 있습니다. 이 글에서는 악성코드를 분석하기 위해 사용되는 절차들, 즉 바이너리에 대한 기본 정보를 얻는 것부터 바이너리 자체에서 핵심 정보를 추출하는 과.. 2025. 4. 25.

COM(Component Object Model)의 개념 오늘은 COM(Component Object Model) 개념에 대해 알아보겠습니다. ○ COM(Component Object Model) 개념Microsoft에서 개발한 소프트웨어 컴포넌트 기반의 인터페이스 표준입니다.일반적으로 클라이언트/서버, RPC, 분산 객체와 같은 분산 컴퓨팅 모델에서 작동하도록 설계되었습니다. 어떤 언어로든 COM 객체를 쉽게 작성할 수 있고, 그 기능을 일반 프로그램에서 사용할 수 있습니다. ○ COM 구조의 핵심 요소COM 객체실제 동작하는 인스턴스(instance)를 의미합니다.최소한 IUnknown 인터페이스를 구현하고 있는 컴포넌트 단위의 객체입니다.IUnknown은 모든 COM 인터페이스의 기반이 되는 인터페이스이므로 COM의 모든 객체가 반드시 구현해야되는.. 2025. 4. 21.

이전 1 2 3 4 ··· 6 다음

티스토리툴바