본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. 악성코드 분석일지 - AgentTesla(진행 중) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 이번에 분석해 볼 악성코드는 AgentTesla라는 가짜 메일 위장 악성코드입니다. 악성코드 자체 분석 난도는 높지 않으나 dll 파일을 열고 분석하는 과정에서 많은 난관에 부딪혔습니다. .net 파일 계열을 패킹해 주는 intellilock이라는 방식의 패커가 있는데 이걸 언 패킹하는 기존의 방식을 모두 시도했지만 실패했습니다. 일단 오늘은 제가 분석한 것까지만 포스팅을 진행하도록 하겠습니다. 1. file ..

보호되어 있는 글입니다.

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. 바이너리 언패킹(2) - 압축과 엔트로피 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요! ICMP입니다! 저번 시간에는 엔트로피의 계산 과정과 이를 파이썬으로 구현했으며, 오늘은 압축과 엔트로피의 관계를 확인해 보고 동적 언패킹으로 OEP를 찾는 코드를 작성해 보도록 하겠습니다. 1. 압축과 엔트로피의 관계 정보를 표기하기 위한 최소한의 비트 수가 엔트로피인데, 그럼 파일을 압축하면 크기가 줄어들므로 엔트로피가 줄어들까요? 결론부터 말씀해 드리자면 압축 방식에 따라서 다르지만 엔트로피는 대체적으로..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네아버 블로그를 이용해 주세요. 바이너리 언패킹(1) - 엔트로피 계산 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요! ICMP입니다! 개인적인 귀차니즘이 있어서 개인적인 연구 차원에서 이렇게 기록을 남깁니다. 리버싱 문제를 풀다 보면 일차적으로 패킹이 걸려 있는지 확인, 압축 해제한 뒤 OEP로 이동하여 본격적인 분석을 진행합니다. 물론 upx와 같은 유명한 방식이거나 ida와 같은 디버거의 플러그인을 활용하면 언패킹이 가능하지만 개발자 직접 제작한 패킹 또는 암호화 방식이면 즉각적인 대응이 불가능합니다. 물론 동적분석 또는 ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.