악성코드 분석 도구 모음

ApateDNS

로컬로 DNS 변조

 

Autoruns - Sysinternals 통합도구 일부

자동 시작 위치 검색 -> 레지스트리 시작폴더 등

 

 

BinDiff - IDA 플러그인

악성코드 변종 비교

 

BinNavi

IDA Pro와 유사한 역공학 환경 제공 -> 팀원끼리 공유 가능

 

Bochs

x86 컴퓨터를 완전히 시뮬레이션할 수 있는 디버거 -> 이것을 이용해 IDB 파일 디버깅 가능

 

Burp 스위트

웹 애플리케이션을 테스트 하는 용도

 

Capture BAT

악성코드 동작할 때 감시 용도 -> 파일 시스템, 레지스트리, 프로세스 행위

 

CFF Explorer

PE 편집을 쉽게할 수 있도록 해줌 (x64&x86)

 

Deep Freeze

물리적인 하드웨어에서 악성코드를 분석할 떄 유용

 

Dependency Walker

DLL or 악성코드가 임포트하는 함수 탐색 이용

 

Import REConstructor

악성코드를 수동 언팩킹 할 때 유용

ImpREC -> IAT 영역 덤프가 안되었을 때

 

INetSim

네트워크 서비스를 시뮬레이션할 수 있는 리눅스 기반 소프트웨어 통합도구

 

LordPE

메모리 실행 파일을 덤프할 수 있는 도구 -> 언팩킹 할 때 유용

 

Malcode Analyst Pack

여러 유틸리티 보유

-윈도우 셸 확장

-MD5 해시 계산기

-CHM 디컴파일 옵션 -> 악성적인 윈도우 help 파일을 다룰 떄 유용

-FakeDNS

 

Memoryze

활성 메모리 덤프&분석

루트킷&후킹 탐지 가능

-Audit Viewer -> Memoryze 출력을 보기 쉽게 바꿔줌

 

OfficeMalScanner

마이크로소프트 문서에 있는 악성코드를 탐지 CLI

오피스 2007 이전 -> scan, brute 권장

오피스 2007 이후 -> inflate 권장

 

OSR Driver Loader

장치 드라이버를 메모리로 로드

 

PDF Dissector

PDF 요소를 파싱 & 객체압축하여 자바 스크립트 추출 

 

PDF Tools

pdfid.py -> PDF 객체 스캔&자바스크립트 포함 여부

pdf-parser.py -> 렌더링 없이 내용과 PDF 주요 객체 검사

 

PE Explorer

PE 수정&언팩킹 해줌

 

PEiD

패커&컴파일러 탐지

 

PEview

PE 파일 구조 보기

 

Processs Explorer

프로세스의 세부 정부 확인

Sysinternals 통합 도구 중 일부

 

Process Hacker

Process Explorer와 비슷함

정규 표현식, 드라이버, 서비스 등을 스캔 가능

 

Process Monitor

파일 시스템, 레지스트리, 프로세스 행위를 관찰

 

Regshot

레지스트리 스냅샷 비교 가능

 

Resource Hacker

.rsrc 등의 리소스를 자세히 볼 수 있다.

 

Sandboxes

Sandboxie

시스템에서 영구적인 변경을 막을 용도로 독립된 환경에서 프로그램을 동작시켜줌

 

Buster Sandbox Analyzer

Sandboxie와 함께 이용 -> 자동화된 분석&보고 제공

 

Snort

네트워크 친입 탐지 시스템(오픈소스)

 

TCPView

모든 TCP&UDP 종단점에서 리스닝 세부 목록을 그래픽으로 출력

 

The Sleuth Kit

대체 데이터 스트림&루트킷이 은폐한 파일을 발견할 때 사용(CLI)

 

Tor

인터넷 익명 사용

 

Truman

가상시스템 없이 안전한 환경을 생성

 

VERA

악성코드분석에 컴파일한 실행파일 시각화&언팩킹

분석에 필요한 동적 추적 데이터에 기반을 둔 시각화

 

Volatility Framework

메모리 캡처 분석용

루트킷, 은폐 프로세스 검색 등 가능

 

YARA

문자열이나 바이너리 패턴에 기반한 악성코드 식별&분류

 

Zero Wine

데비안 리눅스 환경에서 동작하는 가상 시스템으로 배포하는 오픈소스 악성코드 샌드박스