ApateDNS
로컬로 DNS 변조
Autoruns - Sysinternals 통합도구 일부
자동 시작 위치 검색 -> 레지스트리 시작폴더 등
BinDiff - IDA 플러그인
악성코드 변종 비교
BinNavi
IDA Pro와 유사한 역공학 환경 제공 -> 팀원끼리 공유 가능
Bochs
x86 컴퓨터를 완전히 시뮬레이션할 수 있는 디버거 -> 이것을 이용해 IDB 파일 디버깅 가능
Burp 스위트
웹 애플리케이션을 테스트 하는 용도
Capture BAT
악성코드 동작할 때 감시 용도 -> 파일 시스템, 레지스트리, 프로세스 행위
CFF Explorer
PE 편집을 쉽게할 수 있도록 해줌 (x64&x86)
Deep Freeze
물리적인 하드웨어에서 악성코드를 분석할 떄 유용
Dependency Walker
DLL or 악성코드가 임포트하는 함수 탐색 이용
Import REConstructor
악성코드를 수동 언팩킹 할 때 유용
ImpREC -> IAT 영역 덤프가 안되었을 때
INetSim
네트워크 서비스를 시뮬레이션할 수 있는 리눅스 기반 소프트웨어 통합도구
LordPE
메모리 실행 파일을 덤프할 수 있는 도구 -> 언팩킹 할 때 유용
Malcode Analyst Pack
여러 유틸리티 보유
-윈도우 셸 확장
-MD5 해시 계산기
-CHM 디컴파일 옵션 -> 악성적인 윈도우 help 파일을 다룰 떄 유용
-FakeDNS
Memoryze
활성 메모리 덤프&분석
루트킷&후킹 탐지 가능
-Audit Viewer -> Memoryze 출력을 보기 쉽게 바꿔줌
OfficeMalScanner
마이크로소프트 문서에 있는 악성코드를 탐지 CLI
오피스 2007 이전 -> scan, brute 권장
오피스 2007 이후 -> inflate 권장
OSR Driver Loader
장치 드라이버를 메모리로 로드
PDF Dissector
PDF 요소를 파싱 & 객체압축하여 자바 스크립트 추출
PDF Tools
pdfid.py -> PDF 객체 스캔&자바스크립트 포함 여부
pdf-parser.py -> 렌더링 없이 내용과 PDF 주요 객체 검사
PE Explorer
PE 수정&언팩킹 해줌
PEiD
패커&컴파일러 탐지
PEview
PE 파일 구조 보기
Processs Explorer
프로세스의 세부 정부 확인
Sysinternals 통합 도구 중 일부
Process Hacker
Process Explorer와 비슷함
정규 표현식, 드라이버, 서비스 등을 스캔 가능
Process Monitor
파일 시스템, 레지스트리, 프로세스 행위를 관찰
Regshot
레지스트리 스냅샷 비교 가능
Resource Hacker
.rsrc 등의 리소스를 자세히 볼 수 있다.
Sandboxes
Sandboxie
시스템에서 영구적인 변경을 막을 용도로 독립된 환경에서 프로그램을 동작시켜줌
Buster Sandbox Analyzer
Sandboxie와 함께 이용 -> 자동화된 분석&보고 제공
Snort
네트워크 친입 탐지 시스템(오픈소스)
TCPView
모든 TCP&UDP 종단점에서 리스닝 세부 목록을 그래픽으로 출력
The Sleuth Kit
대체 데이터 스트림&루트킷이 은폐한 파일을 발견할 때 사용(CLI)
Tor
인터넷 익명 사용
Truman
가상시스템 없이 안전한 환경을 생성
VERA
악성코드분석에 컴파일한 실행파일 시각화&언팩킹
분석에 필요한 동적 추적 데이터에 기반을 둔 시각화
Volatility Framework
메모리 캡처 분석용
루트킷, 은폐 프로세스 검색 등 가능
YARA
문자열이나 바이너리 패턴에 기반한 악성코드 식별&분류
Zero Wine
데비안 리눅스 환경에서 동작하는 가상 시스템으로 배포하는 오픈소스 악성코드 샌드박스
'윈도우' 카테고리의 다른 글
윈도우 api 상수나 구조체 값을 알고 싶을때 (0) | 2020.01.21 |
---|---|
WOW64 (0) | 2020.01.21 |
Debug Blocker (0) | 2019.11.06 |
PE IMAGE SWITCHING (0) | 2019.11.06 |
자기 자신을 자식 프로세스를 생성시키는 프로그램 디버그 (0) | 2019.11.04 |