WinMD5
파일마다 고유한 MD5라는 128비트 암호화 해시함수를 비교하여 위조 여부를 판단하는 툴
실행파일을 넣으면 파일의 MD5 해시값을 확인 할 수 있음
파일 제작자가 알려준 값을 넣고 비교하면 매치하는 지 알려줌
만약 위처럼 값이 다르면 파일이 변조 되었을 가능성이 높음
Bintext
BinText 는 파일에 포함된 문자열들을 GUI 의 형태로 보여주는 툴
패킹이 되어있다면 문자열을 확인할 수 없기 때문에 반드시 언패킹을 진행한 후에 사용
스캔하고 싶은 파일을 스캔하면 파일에 포함된 문자열 확인 가능
파일에 Import 한 DLL 의 정보와 함께 사용된 함수 확인가능
네트워크 행위를 하는 파일의 경우에는 해당 파일에 포함된 IP 주소와 URL 정보 등도 확인이 가능
어떤 실행 파일 인지 체크 가능 exe, bat, jsp, asp 확장자에 따른 대처가 다름
Exeinfo PE
검사하고자 하는 파일이 컴파일 된 언어와 패킹 여부를 확인하는 툴
- UPX로 패킹 되어 있음
- 32비트 프로그램
- 언패킹 정보
- .text 파일
- 64비트 프로그램
- 패킹 되어 있지않음
PE View
실행파일의 PE 구조를 분석할 수 있는 툴
맨첫줄에 나와있는 File Signature로 파일의 실제 포맷 확인가능
32비트 파일 이란것도 알 수 있음
→ 위의 exeinfo는 이걸 기준으로 분석해서 쉽게 정보를 줌
64 파일을 통해 x86 지원프로그램
68 파일을 통해 파일이 생성된 시간 을 분석 가능
이 페이지에서는 Virtual Size와 Size of Raw Data의 비교를 통해서 패킹된 파일인지 아닌지 판단가능
두 사이즈가 비슷하면 패킹 되지않은 파일
Virtual Size가 더 크다면 패킹을 의심해 볼 수 있음
'보안관제' 카테고리의 다른 글
| 악성코드 분석 실습1 (1) | 2024.01.10 |
|---|---|
| 동적분석 도구 실습 (0) | 2023.12.21 |
| 동적분석, 정적분석 (1) | 2023.12.07 |
| Virustotal (1) | 2023.11.25 |
| 보안관제 (0) | 2023.11.20 |