PE 파일의 악성여부 판단 기준

PE 파일의 악성여부 판단 기준

1. 섹션의 엔트로피 분석PE 악성코드는 악성코드 분석가의 분석을 회피하기 위해 파일 데이터를 압축, 패킹, 인코딩, 암호화등을 수행한다. 이러한 과정을 수행했을 때 엔트로피 값이 증가하게 되고, 악성코드 분석가는 각 섹션들의 엔트로피 값이 7 이상이면, 악성코드로 판단할 수 있다.  2. 엔트리 포인트 분석일반적인 PE 실행파일은 엔트리포인트(EP)에서 .text, .code등의 문자열을 확인할 수 있다. 하지만 악성코드들은 패킹을 하기 때문에 엔트리포인트에 패커와 관련된 문자열인. upx0 같은 형태를 확인할 수 있다. 실습Stud_PE로 확인하였을떄, 엔트리포인트(EP)가. text인 것을 통해서 정상적인 파일인 것을 확인할 수 있다. 비정상적인 파일은 엔트리포인트(EP)가 UPX1임을 통해 UPX..

  • format_list_bulleted IT/Security
  • · 2024. 9. 9.
  • textsms
PEview(정적 분석 도구)

PEview(정적 분석 도구)

1. PEview란?Window 용 실행 파일인 PE( Portable Executable )의 구조를 분석할 수 있는 도구이며, 주로 파일시그니처, 언패킹 확인,  타임스탬프 정보 확인등을 파악할때 활용한다.  2. PEview 활용 예시여러 섹션들 중에서 가장 주요하게 살펴볼 섹션은 IMAGE_NT_HEADERS이다.2.1 파일 시그니처 확인IMAGE_NT_HEADERS의 Signature를 통해서 해당 파일이 PE 파일임을 확인할 수 있다. 2.2 언패킹 확인 Virtual Size와 Size of Raw Data값이 같다는것을 통해 언패킹된 파일임을 확인할 수 있다.  패킹된 파일은 Virtual Size와 Size of Raw Data값의 차이가 크다는 것을 확인할 수 있다. (패킹된 파일은 두..

  • format_list_bulleted IT/Security
  • · 2024. 5. 29.
  • textsms
악성코드 샘플분석 1차

악성코드 샘플분석 1차

이번시간에는 다운로더 형태의 PE 악성코드 샘플인 bton02setup.exe파일을 가지고 악성코드 분석을 진행하였습니다.   📌기초분석(VirusTotal)VirusTotal에 악성코드를 업로드하여 기초분석을 진행하였습니다.(실제로 악성코드 정보를 확인할때는 업로드하기보다는 해시값을 검색하여 정보를 수집하는것을 권장한다고 합니다.)  이 파일은 73개의 엔진 중 52개 엔진이 악성코드로 진단했으므로, 악성코드일 가능성이 매우 높다고 판단하였습니다.또한 이 파일은 트로이 목마, 애드웨어, 다운로더 형태의 악성코드로서, EXE 실행 파일 형태로 되어 있음을 확인하였습니다. DETAILS탭에서는 악성코드의 해시값, File type등의 정보를 확인할수 있었습니다. RELATIONS탭에서는 연관된 URL 정..

  • format_list_bulleted IT/Security
  • · 2024. 5. 13.
  • textsms