리버싱할 때 필요한 툴을 어떻게 소개할까 고민이다.
툴도 많고 사용법도 다양하고 사용하는 용도에 따라 바라보는 관점에 따라 너무나도 다르다.
그래서 단순 필자 기준 악성코드 분석과 C/S 프로그램 분석을 주로 하는 입장에서 나열할 예정이다.
실무에서 보안하는 사람들을 보면 본인만의 스타일의 툴, 방식 등 다 구축되어 있어
리버싱을 처음 접하는 분들께서는 디버깅툴은 우선 하나로 가져가고 그외 다양한 툴을 많이 다뤄보는 것도 방법이라고 생각한다.
리버싱을 처음 접하는 분들께서는 디버깅툴은 우선 하나로 가져가고 그외 다양한 툴을 많이 다뤄보는 것도 방법이라고 생각한다.
또한 다른 리버싱 관련 글들 보면 툴에 대해서 소개되어 있는 글들을 많이 볼 수 있어
저는 핵심툴과 남들이 블로그에 다루지 않는 툴을 소개할까 한다.
디버깅 툴 : 바이너리 파일을 어셈블리어로 재구성해주는 툴
말 그대로 코드 하나하나 디버깅하는 툴입니다.
1) Ollydbg
2) Ida PRO
3) Immunity Debugger
4) Windbg
정적툴
1) detour : 후킹 라이브러리(블로그 참조 : http://blog.secmem.org/480 )
2) exeinfo, PEID : 어떤 언어로 제작되어 있는지 확인해주는 툴, PEID는 개발 중단됨.
3) PEView, Stud_PE, loadPE : PE 구조를 확인하는 툴
정적툴
1) detour : 후킹 라이브러리(블로그 참조 : http://blog.secmem.org/480 )
2) exeinfo, PEID : 어떤 언어로 제작되어 있는지 확인해주는 툴, PEID는 개발 중단됨.
3) PEView, Stud_PE, loadPE : PE 구조를 확인하는 툴
4) strings, bintext : 바이너리 내부 문자열, API 등 추출
동적 툴(유저레벨)
1) Autoruns : 윈도우에서 실행중인 현황을 알려주는 툴(시작프로그램, 작업스케쥴러 등)
2) Processmonitor : 시스템 모니터링툴
3) ProcessExplorer : 윈도우 최고 작업 관리자, 윈도우에 동작 중인 프로세스와 그에따라 핸들링된 내역, DLL로드된 내용 등 확인하는 툴
동적 툴(유저레벨)
1) Autoruns : 윈도우에서 실행중인 현황을 알려주는 툴(시작프로그램, 작업스케쥴러 등)
2) Processmonitor : 시스템 모니터링툴
3) ProcessExplorer : 윈도우 최고 작업 관리자, 윈도우에 동작 중인 프로세스와 그에따라 핸들링된 내역, DLL로드된 내용 등 확인하는 툴
4) Hijackthis : 사용자 동의 없는 시스템 또는 브라우저 설정 변경(DLL Injection 탐지 시 유용)
5) Wireshark : 네트워크 패킷 분석 도구
동적 툴(커널레벨)
1) Gmer
2) Icesword : Windows7이상 지원안함.
3) PC hunter
4) Kernel Detective
기타 유용한 툴
1) Refletor : .NET으로 제작된 프로그램(C# 등)을 디컴파일해주며 수정도 가능함.
2) ffdec, Sothink, RABCD ASM : 플래쉬 파일에 대해 액션스크립트 등 디컴파일이 가능하며 수정도 가능함.
동적 툴(커널레벨)
1) Gmer
2) Icesword : Windows7이상 지원안함.
3) PC hunter
4) Kernel Detective
기타 유용한 툴
1) Refletor : .NET으로 제작된 프로그램(C# 등)을 디컴파일해주며 수정도 가능함.
2) ffdec, Sothink, RABCD ASM : 플래쉬 파일에 대해 액션스크립트 등 디컴파일이 가능하며 수정도 가능함.
3) dede : 델파이 디컴파일러
4) 010editor, notepad++ : 막강 편집기
5) Cheat Engine : 메모리 변조
막상 나열해서 하나하나 설명하려고하니 너무 많고 엄두가 나질 않아 간략하게 입문 툴이라고 보면 되겠네요.(추후 업뎃 예정)
'ETC' 카테고리의 다른 글
랜섬웨어(Lokcy)_DLL_최초_변종_16.09.08 (0) | 2017.04.27 |
---|---|
CrackME 문제 & 루틴분석 (0) | 2017.01.29 |
ActiveX 디버깅(ollydbg) (0) | 2017.01.16 |
[POC]PHPMailer 원격코드 실행 취약점 POC(CVE-2016-10033) (0) | 2017.01.02 |
TLS Callback (0) | 2016.12.30 |