'악성코드 분석'에 해당되는 글 2건

  1. 2014.01.16 제로데이 샘플, 어떤 부분을 통해 분석할까?
  2. 2010.10.22 악성 프로그램 자동 분석 무료 서비스 (5)

지난 2013년도에는 3.20 사이버테러, 6.25 사이버워 등 굵직굵직한 사건들이 참 많았습니다. 덕분에 관련된 많은 사람들이 고생도 많이 하셨을 것이고, 또한 이를 통해 APT 등 새로운 분야에 대한 관심사가 떠오르기도 했습니다.

 

보안 쪽 특히 해킹이나 악성코드 분석에 관심이 있는 친구들이라면, 꼭봐둬야할 기사를 하나 소개합니다.

 

PC에 뭔가 있는거 같다! 뭘 유심히 봐야 하느냐! 에 대한 해외 자료입니다.

 

http://journeyintoir.blogspot.kr/2014/01/it-is-all-about-program-execution.html

 

요약하면...

What Malware Indicators to Look For


As the name implies program execution artifacts show what programs executed on a system and at times what programs were present on the system. The significance of knowing what programs ran can be seen in my corollary to the Rootkit Paradox:

      1. They need to run
      2. They want to remain hidden

Malware wants to remain hidden on a system so it can accomplish what it was designed to do. However, in order for malware to hide on a system a program has to run. This program executes to either hide itself or another piece of malware; in the process it will leave artifacts on the system. These artifacts - program execution artifacts - can be used to find where the malware is hidden. Below are the malware indicators to look for as the program execution artifacts are reviewed (my post Triaging Malware Incidents shows how to use these indicators for triaging).

      - Programs executing from temporary or cache folders
      - Programs executing from user profiles (AppData, Roaming, Local, etc)
      - Programs executing from C:\ProgramData or All Users profile
      - Programs executing from C:\RECYCLER
      - Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
      - Programs with random and unusual file names
      - Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
      - Other activity on the system around suspicious files

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    인터넷을 사용하거나, 다른 사람이 사용하던 USB를 가져와 파일을 복사할 때에 악성 프로그램(바이러스, 트로이 목마)으로 의심되는 파일이 있다면 보통 바이러스 토탈(Virus Total)과 같이 여러가지 백신의 엔진을 가지고 감염 여부를 확인하는 경우가 대부분입니다.

    하지만, 이는 단순하게 감염 여부만 알려 줄 뿐이며, 그 파일이 어떻게 동작하는지 알기가 어렵습니다.

    소개하는 자료는 악성 프로그램을 분석하여 알려주는 서비스 중에 무료로 제공되는 것을 정리한 것입니다. 추가적인 설명은 검사할 수 있는 유형을 나타냅니다.

    보통 인터넷으로 전파되는 HTML이나 JS는 JSUNPACK에서 분석하는 것이 좋습니다. 파일에 대한 부분은 특정한 OS나 크기의 제한이 있을 수 있으므로 주의하시기 바랍니다.

    감사합니다.






    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory