RZ BASE RZ BASE

공통 DLL Kernel32.dll - 메모리, 파일, 하드웨어 접근과 조작과 같은 핵심 기능을 담은빈번히 공통으로 사용되는 DLL Advapi32.dll - 이 DLL을 이용하면 서비스 관리자나 레지스트리 같은 추가 핵심 윈도우 컴포넌트에 접근할 수 있다 User32.dll - 버튼, 스크롤바, 사용자 행위 제어와 반응 컴포넌트 등 모든 사용자 인터페이스 컴포넌트 Gdi32.dll - 그래픽관련 함수 Ntdll.dll - 윈도우 커널 인터페이스, 이건 뭐라 설명하기가 힘들다 WSock32.dll - 네트워크관련 작업을 수행한다 Wininet - FTP, HTTP, NTP 같은 프로토콜을 구현한 상위수준의 네트워크 함수를 담고있다 - 윈도우가 업데이트되면서 업데이트한 신규 함수가 기존 함수와 같은 이름일..

1. 파일 유형 파악 분석할 때 의심스러운 바이너리의 파일 유형을 구분하는 것은 악성코드의 목표 운영 시스템(윈도우, 리눅스) 아키텍처(32비트 or 63비트)를 식별하는 데 도움이 된다. 예를들어서 의심스러운 바이너리가 윈도우 실행파일 (exe dll sys 등) 포맷인 PE 파일 유형이라면 윈도우 운영체재를 대상으로 디자인 됬다는 사실을 알 수 있음 근데 생각해보면 의심스러운 exe파일을 그냥 무턱대고 실행하는 사람들이 얼마나 있을까 그렇기때문에 공격자는 파일 확장자를 수정해 파일을 숨기거나 피해자가 실행하도록 속이고자 외형등을 바꾼다 그래서 파일 확장자로 파일 유형을 구분하기보다는 파일 시그니쳐를 통해 파일 유형을 구분할 수 있다 - 파일 시그니처는 파일 헤더에 작성되는 바이트의 독특한 배열순서다 ..

악성코드 - 악의적인 행위를 하는 코드 악성코드가 하는일 - 정보 훔치기 감시 스팸 디도스 등등 님이 아는거 악성코드 종류 1. 트로이목마, Trojan - 일반 프로그램으로 위장해서 설치 유도한 뒤 몰래 데이터를 훔치거나 공격자 서버에 전송, 모니터링등의 나쁜짓함 2. 백도어/원격 접속 트로이목마, RAT, Remote Acess Trojan - 원격으로 피해자의 컴퓨터를 원격 접속하거나 명령어를 실행가능하게하는 트로이 목마의 한 종류 3. 에드웨어, Adware - 원치않는 광고를 노출하는 악성코드, 일반적으로 무료다운로드를 통해 배포된다, 강제로 설치되게함 4. 봇넷, Botnet - 동일한 악성코드에 감염된 컴퓨터 그룹으로 공격자가 자기 서버에서 명령을 내림, 디도스나 스팸메일 등의 공격에 사용 ..