테크리빗

보호되어 있는 글입니다.

1. 섹션의 엔트로피 분석PE 악성코드는 악성코드 분석가의 분석을 회피하기 위해 파일 데이터를 압축, 패킹, 인코딩, 암호화등을 수행한다. 이러한 과정을 수행했을 때 엔트로피 값이 증가하게 되고, 악성코드 분석가는 각 섹션들의 엔트로피 값이 7 이상이면, 악성코드로 판단할 수 있다.  2. 엔트리 포인트 분석일반적인 PE 실행파일은 엔트리포인트(EP)에서 .text, .code등의 문자열을 확인할 수 있다. 하지만 악성코드들은 패킹을 하기 때문에 엔트리포인트에 패커와 관련된 문자열인. upx0 같은 형태를 확인할 수 있다. 실습Stud_PE로 확인하였을떄, 엔트리포인트(EP)가. text인 것을 통해서 정상적인 파일인 것을 확인할 수 있다. 비정상적인 파일은 엔트리포인트(EP)가 UPX1임을 통해 UPX..

1. 악성코드란?악성코드(malware)란 의도적으로 컴퓨터 시스템에 해를 입히기 위해 설계된 악성 소프트웨어를 말한다. 영어단어를 풀어서 해석해보면, Malicious(악성)와 Software(소프트웨어)를 합친 단어라는것을 알수있다.  2. 악성코드의 유형참고로 악성코드는 특징에 따라 하나의 유형에 속하기 보다는 여러가지 유형에 속하는 경우가 많다.대표적인 악성코드 유형은 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), 애드웨어(Adware), 스파이웨어(Spyware), 랜섬웨어(Ransomeware)로 나뉜다. (이외에 유형들은 회사에 따라서 좀 더 세부적으로 분류하기도 한다.)  2.1 바이러스(Virus)바이러스(Virus)는 사용자의 개입(감염된 파일을 실행) 통해 전파되는..

DDos란?DDoS(분산 서비스 거부) 공격은 여러 대의 컴퓨터를 이용하여 대상 서버에 악의적으로 과도한 트래픽을 일으켜 서비스를 방해하는 행위입니다.  생활 속에서도 이와 비슷한 현상을 겪을 수 있습니다. 예를 들어, 대학생들이 수강신청을 하거나 인기 있는 공연의 티켓을 예매하기 위해 동시에 웹사이트에 접속할 때, 사이트가 느려지거나 접속이 어려워지는 경우가 있습니다. 이러한 현상은 DDoS 공격과 유사해 보일 수 있으나, DDoS 공격의 경우 공격자가 의도적으로 대규모의 트래픽을 생성하여 서비스를 방해한다는 점에서 명확한 차이가 있습니다. 정리하자면, DDoS는 서버의 자원을 고갈시켜 정상적인 이용자들의 접속을 막으려는 악의적인 목적으로 실행됩니다. DDos 동작방식공격자는 감염된 좀비 PC들을 C&..

1. Firewall(방화벽)먼저, 방화벽(Firewall)은 외부 네트워크로부터 내부 네트워크로의 패킷이 이동할 때 허가된 IP 주소나 포트 번호에 따라 접근을 허용하거나 차단하는 도구입니다.  방화벽은 주로 공격에 대한 1차 방어선으로써 접근제어기능(Access Control)을 수행합니다. 또한 방화벽에 접근이 허용되거나 차단된 패킷들을 기록(Logging)하고 추적하는 기능(Auditing)을 수행합니다.  방화벽을 구성하는 방법은 라우터가 방화벽 역할을 하는 스크리닝 라우터로 구성하는 것과, 방화벽 전용 하드웨어로 구성하는 방법이 있습니다.  하지만 방화벽에도 한계가 있습니다.첫째, 방화벽은 IP 주소와 포트 번호에 의존하여 액세스를 관리하는 솔루션이기 때문에, 만약 공격자가 우회한 IP 주소와..