반응형
[1. 자주 쓰이는 악성코드 분석툴]
동적분석 도구- 실시간 프로세스 모니터링 (Process Explorer, Process Monitor)
- 실시간 메모리 분석 (vmmap)
- 윈도우 시작 프로그램 분석(Autoruns)
- 실시간 레지스트리 생성 및 수정 정보 분석 (regmon)
- 실시간 네트워크 연결 분석(Cport)
- 실시간 네트워크 트래픽 및 패킷 분석(WireShark, Smsniff)
- 윈도우 시작 프로그램 분석(Autoruns)
- 실시간 레지스트리 생성 및 수정 정보 분석 (regmon)
- 실시간 네트워크 연결 분석(Cport)
- 실시간 네트워크 트래픽 및 패킷 분석(WireShark, Smsniff)
- 강력한 루트킷 탐지 도구(Gmer)
- 그외 : http://technet.microsoft.com/en-us/sysinternals/bb545027.aspx
정적분석 도구
- 대표적인 바이너리 디버깅 프로그램(OllyDbg, Immunity Debugger)
- 메모리 덤프 분석 도구(WinDbg)
- 파일내 헥사값을 분석하기 Editor (HxD, WinHex)
- 헥사 비교 에디터 (Beyond Compare, HexCmp)
- 패킹 여부 확인 및 해제 도구 (UPX, PEID)
- 파일내 스트링 검색도구 (BinText)
- PE 포멧 및 구조 분석 도구 (PEview)
- 악성코드를 정밀 분석하기 위한 프로그램 (IDA Pro)
- 그외 : http://technet.microsoft.com/en-us/sysinternals/bb545027.aspx
정적분석 도구
- 대표적인 바이너리 디버깅 프로그램(OllyDbg, Immunity Debugger)
- 메모리 덤프 분석 도구(WinDbg)
- 파일내 헥사값을 분석하기 Editor (HxD, WinHex)
- 헥사 비교 에디터 (Beyond Compare, HexCmp)
- 패킹 여부 확인 및 해제 도구 (UPX, PEID)
- 파일내 스트링 검색도구 (BinText)
- PE 포멧 및 구조 분석 도구 (PEview)
- 악성코드를 정밀 분석하기 위한 프로그램 (IDA Pro)
- 자바 소스를 출력하기 위한 디컴파일 도구 (JD-gui)
그외 추가적인 자료
- PE구조 분석 (PE101)
- PE구조 분석 (PE101)
- 해쉬값 체크 도구 (HashTab)
- 악위적인 행위를 추적하기 위한 도구(Regshot, Winalysis, SystemSherlock)
- TCP/UDP 연결을 추적하고 분석하기 위한 툴 (io-footprint)
[2. 온라인 바이러스 스캐너 및 분석도구]
* 주요 사이트
https://www.virustotal.com/
-기타
https://www.metascan-online.com/
그외 리스트 및 참고자료
http://www.coresec.org/2011/07/26/online-malware-analysis-scanners
http://grandstreamdreams.blogspot.kr/2012/04/malware-analysis-resources.html
http://grandstreamdreams.blogspot.kr/2012/04/malware-analysis-resources.html
[3. 악성코드 유포 주소 확인 및 샘플 공유사이트]
실시간으로 악성코드가 심어져 있는 웹페이지나 서버의 리스트를 제공
악성코드 분석을 위한 각종 샘플을제공하는 사이트
안드로이드 기반 악성코드 샘플 제공
전세계에서 발생하는 실시간 악성코드 샘플들에 대하여 수집
관리자에게 메일로 아이디를 발급받아 악성코드를 제공받을 수 있다.
악성코드 유포, 피싱, 유해 사이트에 대한 DB정보 제공
http://hosts-file.net/
http://hosts-file.net/
[4. 전세계 악성코드들의 활동을 대쉬보드로 제공하는 사이트들]
허니팟프로젝트를 통해 전세계에서 활동하는 웜을 포함한 각종 악성코드에 대한 실시간 정보
http://map.honeynet.org/
http://map.honeynet.org/
Akamai 에서24시간 인터넷 환경에 대한 모니터링을 통해 악성코드를 이용한 공격정보 모니터링
카스퍼스키에서 24시간 수집하는 데이터를 바탕으로 원하는 기간에 따른 통계정보를 제공
http://www.securelist.com/en/statistics#/en/map/oas/month
http://www.securelist.com/en/statistics#/en/map/oas/month
트랜드마이크로에서C&C서버 및 봇넷의 활동을 실시간으로 분석
http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html
http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html
Shadowserver 단체에서 수집한 보안장비를 바탕으로 DDoS 공격 및 봇넷의 활동을 실시간으로 분석함
http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSMaps
http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSMaps
Arbor에서 전세계 ISP업체 및 글로벌 업체와 협력하여 봇에 관점에서 분석 정보를 제공
http://atlas.arbor.net/
http://atlas.arbor.net/
[5. 악성코드 분석을 위한 가상화 및 샌드박스를 제공하는 사이트]
악성코드를 분석하기위한 자동화된 우분투기반의 샌드박스
악의적인 파일에 대해 스크린샷 및 기본적인 분석정보를 제공하는 샌드박스
행위기반 분석도구 악성코드를 행위를 바탕으로 판별하기 위한 도구
행위기반의 악성코드 분석도구
프로세스의 동작과 시스템에 대한 변경사항을 분석하기 위한 버스터 샌드박스
악의적인 파일에 대해 가상으로 프로그램을 설치하여 테스트할 수 있는 샌드박스
허니팟 프로젝트에서 제공하는 샌드박스 도구
온라인상에서 자바스크립트 PDF, HTML 파일들은 언패킹하여 분석하기 위한 사이트
http://jsunpack.jeek.org/
[6. 문서파일관련 악성코드 분석자료]
Office문서파일관련 악성코드 파일에 대한 분석자료
http://www.mitec.cz/ssv.html
http://www.microsoft.com/en-us/download/details.aspx?id=2096
http://computer-forensics.sans.org/blog/2012/05/29/extract-flash-from-malicious-office-documentshttp://msdn.microsoft.com/en-us/library/cc313118.aspx
http://hooked-on-mnemonics.blogspot.fr/2012/05/intro-to-malicious-document-analysis.html
http://zeltser.com/reverse-malware/analyzing-malicious-documents.html
http://blog.zeltser.com/post/23229415724/malicious-code-inside-office-documents
http://www.mitec.cz/ssv.html
http://www.microsoft.com/en-us/download/details.aspx?id=2096
http://computer-forensics.sans.org/blog/2012/05/29/extract-flash-from-malicious-office-documentshttp://msdn.microsoft.com/en-us/library/cc313118.aspx
http://hooked-on-mnemonics.blogspot.fr/2012/05/intro-to-malicious-document-analysis.html
http://zeltser.com/reverse-malware/analyzing-malicious-documents.html
http://blog.zeltser.com/post/23229415724/malicious-code-inside-office-documents
PDF파일 분석 도구
http://www.malwaretracker.com/pdf.php
http://sandsprite.com/blogs/index.php?uid=7&pid=57
http://blog.didierstevens.com/programs/pdf-tools/
http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis
http://blog.zeltser.com/post/6780160077/peepdf-malicious-pdf-analysis
http://eternal-todo.com/tools/peepdf-pdf-analysis-tool
http://www.malwaretracker.com/pdf.php
http://sandsprite.com/blogs/index.php?uid=7&pid=57
http://blog.didierstevens.com/programs/pdf-tools/
http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis
http://blog.zeltser.com/post/6780160077/peepdf-malicious-pdf-analysis
http://eternal-todo.com/tools/peepdf-pdf-analysis-tool
PDF파일 분석 참고자료
http://sketchymoose.blogspot.co.uk/2012/08/pdf-analysis-request.html
http://resources.infosecinstitute.com/pdf-file-format-basic-structure/
http://blog.malwaretracker.com/
http://sketchymoose.blogspot.co.uk/2012/08/pdf-analysis-request.html
http://resources.infosecinstitute.com/pdf-file-format-basic-structure/
http://blog.malwaretracker.com/
AdobeFlash/SWF 파일 분석
http://labs.adobe.com/technologies/swfinvestigator/
http://h30499.www3.hp.com/t5/Following-the-Wh1t3-Rabbit/SWFScan-FREE-Flash-decompiler/ba-p/5440167
http://betanews.com/2012/01/18/decompile-flash-files-with-hp-swfscan/
http://labs.adobe.com/technologies/swfinvestigator/
http://h30499.www3.hp.com/t5/Following-the-Wh1t3-Rabbit/SWFScan-FREE-Flash-decompiler/ba-p/5440167
http://betanews.com/2012/01/18/decompile-flash-files-with-hp-swfscan/
파이썬 기반의 HWP 파싱 도구
https://github.com/mete0r/pyhwp
[7. 그외 공개되어 있는 악성코드 분석 도구들]
그외 오픈소스 기반 동적분석도구
파이썬기반의 웹사이트 악성코드 삽입 판별 및 취약점을 통한 공격여부를 판단하기 위한 도구
봇넷 기반의 악성코드를 분석하기 위한 네트워크 시뮬레이션 도구
호출되는 API 및 서비스들을 추적하고 모니터링할 수 있는 도구
그외 오픈소스 기반 정적분석도구
파이썬기반의 악성코드 정적분석도구
http://code.google.com/p/pyew/
http://code.google.com/p/pyew/
EXE파일을 정적분석할 수 있는 간단한 도구
USB 악성코드 감염 여부 검사도구
PE파일 디지털 서명 확인 도구
Virustotal과 연동하여 악성코드로 의심되는 파일들을 자동으로 전송하고 분석하기 위한 도구
http://www.raymond.cc/blog/xray/
http://www.raymond.cc/blog/xray/
바이러스 토탈 API를 이용하여 MD5해시정보를 이용한 악성코드 탐색
http://blog.didierstevens.com/2012/05/21/searching-with-virustotal/
nmap 스크립트를 이용하여 바이러스토탈의 파일 체크
http://nmap.org/nsedoc/scripts/http-virustotal.html
http://blog.didierstevens.com/2012/05/21/searching-with-virustotal/
nmap 스크립트를 이용하여 바이러스토탈의 파일 체크
http://nmap.org/nsedoc/scripts/http-virustotal.html
웹브라우저상의 취약점을 이용한 악의적인 행위를 방지하기 위한 도구
http://www.zerovulnerabilitylabs.com/home/exploitshield/browser-edition/
[8. 악성코드 분석 강좌 및 참고자료를 제공하는 사이트]
악성코드 분석관련 강좌사이트
악성코드 분석관련 튜토리얼 강좌
IDA 튜토리얼 동영상 사이트
http://www.woodmann.com/TiGa/idaseries.html
http://www.woodmann.com/TiGa/idaseries.html
기본적인 악성코드 분석 동영상
http://www.youtube.com/watch?v=592uIELKUX8
http://www.youtube.com/watch?v=592uIELKUX8
악성코드 분석 자료를 제공하는 블로그
http://blog.commandlinekungfu.com/
http://contagiodump.blogspot.com/
http://blog.commandlinekungfu.com/
http://contagiodump.blogspot.com/
http://malwaremustdie.blogspot.jp/
http://www.hexacorn.com/blog/
http://www.malanalysis.com/blog/
http://windowsir.blogspot.kr/
http://www.hexacorn.com/blog/
http://www.malanalysis.com/blog/
http://windowsir.blogspot.kr/
그외 분석에 도움을 주는 사이트
악성코드 샘플 분석 자료 관련 코드들을 제공
'|유익한 정보|' 카테고리의 다른 글
[Red Alert] H3.20 사이버테러 사고 분석 보고서 Version 1.7 (0) | 2013.05.15 |
---|---|
2013 보안 위협 트렌드 전망 보고서 (0) | 2013.02.01 |
CVE-2013-0422 취약점 이용 악성코드 (0) | 2013.01.16 |
KISA 각종 안내서 및 해설서 링크 (0) | 2012.12.06 |
홈페이지 SW(웹) 개발보안 가이드[행안부,KISA] (0) | 2012.12.06 |