본문 바로가기

메모리 덤프

소소한 Unpacking TIP 악성코드 분석에 있어 제일 걸림돌은 무엇일까? 복잡한 알고리즘? 안티 디버깅? 개인적으로 바이너리 패킹(Binary Packing)이라고 생각이 든다. 악성코드 제작자 입장에서 악성코드 분석을 가장 쉽게 저지하는 방법은 악성코드 프로그램을 분석하지 못하도록 패킹하여 분석을 어렵게 하는 것인데, 이를 해결하기 위해 분석가들은 여러가지 노력을 하게 된다.보통 언패킹을 하게 되면 알려지지 않은 악성코드 제작자의 독자적인 패킹을 풀기 위해 매뉴얼 언패킹을 시도하거나 알려진 패킹의 경우 패킹 제작자가 만든 언패킹 프로그램(언패커)를 사용하여 패킹을 풀게 된다. 언패킹을 할 때 매뉴얼 언패킹과 언패커를 이용한 언패킹이 정석이고 가장 좋은 방법이긴 하다. 하지만 과연 이 방법 밖에는 언패킹 하는 방법이 없는 것일까?.. 더보기
Memory Analysis (3) 이번에는 메모리 덤프 방법 중 소프트웨어를 이용한 덤프 방법을 알아볼 것이다. 종류를 알아보기 전 소프트웨어를 이용한 메모리 덤프의 장단점을 알아보자. [소프트웨어를 이용한 메모리 덤프의 장단점] 1. 장점 - 메모리 덤프를 하기 위해 추가적인 장비가 필요하지 않음. - 상용 도구와 크게 다르지 않은 성능을 가지고 있는 공개 도구들이 있음. - 상용 제품들은 원격에 있는 컴퓨터에서도 메모리 덤프를 수집할 수 있음. 2. 단점 - 커널 레벨 루트킷과 악성 프로그램에 매우 취약함. - OS의 종류와 버전에 따라 사용할 수 있느 도구에 제약을 받음. - 수집하는 메모리에 자신의 흔적을 남김. 위의 내용에서 보았듯이 소프트웨어를 이용한 메모리 덤프에도 장단점이 존재한다. 하드웨어를 이용한 메모리 덤프는 얻어지는.. 더보기