https://docs.microsoft.com/ko-kr/sysinternals/downloads/
Sysinternals 유틸리티 - Sysinternals
Sysinternals 유틸리티를 사용하여 Windows를 설치, 배포 및 유지 관리하는 방법을 평가하고 알아보세요.
learn.microsoft.com
해당 사이트에서 악성코드 분석을 위한 도구들을 다운로드 받을수있습니다.
맨 위에 suite로 된 것을 받으면 모든 도구들을 받을 수 있습니다.
사용할 툴은 procexp 프로세스 익스플로러 와 procmon 프로세스 모니터 툴입니다.
1.procexp를 틀어둔 상태로 바이러스 파일과 감염되지 않은 파일을 실행시켜 줍니다.
차이점을 보면 바이러스 파일은 cpu 사용량이 많다는것, 용량이 더 높다는것 등이 있습니다.
색상도 보라색으로 표시될 수 있는데 이는 fact-image 라고 합니다.
일종의 보호막으로 볼수 있습니다. fact된 이미지는 바이러스로 인한 메모리 변경을 보호하게 됩니다.
하지만, 바이러스 자체가 fact-image로 되어서 들어가게 될 수 있습니다.[위장]
해당 바이러스 파일을 우클릭-properties를 들어가서 Strings 탭을 보면 아래에 image와 Memory 라디오 버튼 두개가 보이는데 이를 번갈아가면서 클릭하면서 두개를 비교해서 완전히 같지 않으면 메모리 변조가 일어나고 있다는 것입니다.
또한, 감염되지 않은 파일과 비교하여도 틀린점이 보이면 변조가 된 파일이라는 것을 알 수 있는데 가장 아래쪽 부분을 보면 두개가 완전히 다른 모습을 보일수 있습니다.
2.procmon 을 들어가서 filter-reset filter를 누르면 프로세스들이 보입니다.
procexp에서 바이러스 파일과 멀쩡한 파일의 pid를 가지고 프로세스 모니터에서 filter-filter 로 가셔서 맨 왼쪽을 PID 그 옆에 is 후 옆에 PID를 넣어준뒤 add 이걸 둘다 해준 뒤 apply 해주면 해당 파일들의 프로세스 모니터링을 볼 수 있습니다. filter 의 enable advanced output 을 체크해준뒤 찾아보면 operation 란에 tcp Reconnected 와 같은 란이 보입니다. 이건 reverse_tcp를 의미합니다.
그 옆에 연결되는 아이피 주소가 나오는데 이 아이피 주소가 해당 바이러스를 배포한 해커의 아이피 주소가 되는것입니다.
'2. 시스템 해킹 및 모의 해킹' 카테고리의 다른 글
| MSF pdf파일을 트로이목마로 만들기 (0) | 2023.12.27 |
|---|---|
| 내가 해킹한 컴퓨터로 다른 컴퓨터 해킹 [코볼트 스트라이크,proxy pivot] (0) | 2023.12.27 |
| 컴퓨터를 해킹해서 원격으로 조종하는 툴 [cobaltStrike] (0) | 2023.12.27 |
| 백신에 탐지되지 않는 바이러스 생성 툴 [Veil] (0) | 2023.12.27 |
| IP를 난독화 시켜주는 도구 [IP Obfuscator] (0) | 2023.12.26 |