프리패치
윈도우 XP 이후의 운영체제에서 제공하는 메모리 관리 정책
실행 파일을 메모리로 로딩할 때 효율적으로 사용하기 위해 사용함
프리패치 파일에 실행 파일이 사용하는 시스템 자원을 미리저장하였다가 윈도우 부팅 시 프리패치 파일(pf)을 모두 메모리에 로드한 후 실제 사용할 때에는 메모리 매핑만 수행하여 실행 속도를 향상시킴
(서버용 운영체제에서는 응용프로그램 구동이 많지 않아 자동 비화성화 상태가 되기도 함)
프리패치 파일이 포함하는 분석 정보
- 실행 파일 이름
- 실행 파일의 실행 횟수
- 실행 파일의 마지막 실행 시간
점프 목록
사용자가 컴퓨터로 이용한 그림, 문서, 음악, 동영상, 웹 서비스 등을 나중에 쉽게 다시 이용할 수 있게 해주는 편의 기능
윈도우에서 애플리케이션을 실행 한 후 작업 표시줄에서 해당 애플리케이션을 우축 버튼으로 클릭하면 표시, 최근에 열거나 자주 사용한 파일들이 나타남
QUIZ.
누군가가 금융 거래 관련 엑셀 파일을 훔쳤다고 한다.
훔쳐간 엑셀파일의 크기와 파일위치경로를 알아내시오.
-
덤프 데이터를 가져오기.
-
사용자 확인 후 Recent 목록을 찾아 진입
-
JumpList Explorer 을 사용하여 점프 목록 확인
-
금융 보안 파일 발견 후 세부 내용 확인
악성코드 분석
기초 정적 분석
완벽한 분석이 목적이 아님, 분석의 힌트를 얻으려는 것
악성코드를 실행하지 않고 그 자체가 갖고 있는 내용을 통해 악의적인 여부를 진단하는 것
1. 문자열 체크 -> 파일 안의 텍스트, dll, 함수 등의 정보 확인
암호화에 쓰는 함수 및 돈달라는 내용 발견 -> 랜섬웨어일 가능성多
2. 백신체크(바이러스토탈) -> 백신에 탐지되면 바이러스일 가능성이 높다.
3. 해쉬값 확인
4. PE파일 정보 분석 : Portable execuable. 윈도우 운영 체제에서 사용되는 실행 파일 - 리버스엔지니어링 공부 필요
5. dll 로딩 정보, 함수 정보를 분석
6. 리소스 정보 분석
추천도구 : PE Studio기초 동적 분석
해당 파일을 실행하여 나타나는 변화를 모니터링 하여 어떠한 기능을 수행하는지 확인- Regshot 준비
- 의심파일 실행 전 첫째 레지스트리 저장
- 파일 실행 후 둘째 레지스트리 저장
- 저장 후 보고서 확인 및 분석
심화 분석
소스코드 분석하거나 어셈블리어나 기계어코드 분석, 디어셈블리, 디버깅
"@____