1번부터 7번까지는 호스트 10.0.0.1이 10.0.0.2에게 패킷을 전송하는 과정  8번부터 14번까지는 호스트 10.0.0.2이 10.0.0.1에게 패킷을 전송하는 과정 1. IPv4 프로토콜 분석 출발지 주소(Source Address)는 10.0.0.1이고, 도착지 주소(Destination Address)는 10.0.0.2인것을 확인  식별자 값이 0x2c2e(11310)으로 확인(1번부터 7번 패킷은 본래 하나의 데이터 덩어리가 단편화 된 것이므로 식별자는 동일함) 단편화된 다음 패킷이 존재한다는 의미의 MF(More fragments) 플래그가 설정되어있음을 확인(1번패킷부터 6번패킷까지 MF 플래그가 설정되어있음) 해당 패킷 이후에는 더 이상의 단편화된 패킷이 없으므로 MF 플래그가 활성..

AWS SAA-C03에 턱걸이로 한번에 합격하였습니다! 남들에겐 별거 아닌 자격증이겠지만, 취득하니 뿌듯합니다 :)1. 학습 기간 및 계획저는 약 2개월 동안 AWS SAA-C03를 준비했습니다. 돌이켜 보면, 더 효율적으로 공부할 수 있었을 것 같습니다.  학습 자료로는 Udemy 강의, 'AWS 구조와 서비스' 교재, 그리고 AWS 기출문제(덤프)를 활용했습니다. 처음에는 인기 있는 Udemy의 AWS SAA 강의를 듣고 덤프를 풀 계획이었습니다. 하지만 강의 분량이 예상보다 많았고, 내용 이해에 어려움을 겪었습니다. 이에 강의 시청을 중단하고 'AWS 구조와 서비스' 교재를 통해 AWS의 기본 개념을 이해하기 시작했습니다. 이 과정에서 AWS를 제대로 이해하기 위해서는 네트워크, 서버리스, 가상화,..

1. PEview란?Window 용 실행 파일인 PE( Portable Executable )의 구조를 분석할 수 있는 도구이며, 주로 파일시그니처, 언패킹 확인,  타임스탬프 정보 확인등을 파악할때 활용한다.  2. PEview 활용 예시여러 섹션들 중에서 가장 주요하게 살펴볼 섹션은 IMAGE_NT_HEADERS이다.2.1 파일 시그니처 확인IMAGE_NT_HEADERS의 Signature를 통해서 해당 파일이 PE 파일임을 확인할 수 있다. 2.2 언패킹 확인 Virtual Size와 Size of Raw Data값이 같다는것을 통해 언패킹된 파일임을 확인할 수 있다.  패킹된 파일은 Virtual Size와 Size of Raw Data값의 차이가 크다는 것을 확인할 수 있다. (패킹된 파일은 두..

악성코드 분석은 도구에 의존하기 때문에, 다양한 도구를 사용해 보면서 자신에게 맞는 도구를 찾는 것이 중요하다. 악성코드 분석 과정은 기초 분석, 정적 분석, 동적 분석의 순서로 진행되며, 각 단계에서 사용되는 주요 도구들을 간략하게 정리했다. 1. 기초분석기초분석은 정적분석과 동적분석에 필요한 정보들을 수집하는 단계이다.대표적인 기초분석 도구로는 'VirusTotal'을 사용한다.  VirusTotal에 대한 자세한 사용법과 주의사항은 아래 글에 작성하였다. VirusTotal📌VirusTotal이란? 의심스러운 파일, 도메인, IP, URL을 분석해주는 웹사이트 악성코드 기초분석에 활용되며, 기존에 동일한 샘플코드들이 존재했는지 빠르게 확인하는데 주 목적 여러 회사의 안티rybbit-life-deb..

이번시간에는 다운로더 형태의 PE 악성코드 샘플인 bton02setup.exe파일을 가지고 악성코드 분석을 진행하였습니다.   📌기초분석(VirusTotal)VirusTotal에 악성코드를 업로드하여 기초분석을 진행하였습니다.(실제로 악성코드 정보를 확인할때는 업로드하기보다는 해시값을 검색하여 정보를 수집하는것을 권장한다고 합니다.)  이 파일은 73개의 엔진 중 52개 엔진이 악성코드로 진단했으므로, 악성코드일 가능성이 매우 높다고 판단하였습니다.또한 이 파일은 트로이 목마, 애드웨어, 다운로더 형태의 악성코드로서, EXE 실행 파일 형태로 되어 있음을 확인하였습니다. DETAILS탭에서는 악성코드의 해시값, File type등의 정보를 확인할수 있었습니다. RELATIONS탭에서는 연관된 URL 정..

안전한 환경에서 악성코드 분석을 위해  가상환경을 구축해야 한다. 대표적으로 많이 사용되는 가상머신은 VMware와 Virtualbox가 있으며, 해당 글에서는 VMware를 통해서 가상환경을 구축을 진행하였다. 📌VMware Workstation Pro 17 설치VMware Workstaiton Pro 17은 공식 사이트를 통해서 설치를 진행할수있다. 가상머신은 가능하면 최신버전 설치를 하는 것을 권장한다.구버전은 패치가 되지 않아 취약점이 존재하며, 설치 또는 실행 중 오류가 발생할 수 있다.     📌Windows 7 Professional K x64 설치이후에는 windows 7 Profession K를 설치해 주었다.   인터넷 연결 확인인터넷이 잘 연결되는것을 확인하였습니다.   VMWAR..