본문 바로가기

My Study/Program

ThreatExpert - 악성코드 분석 툴

이번에 소개할 툴은 악성코드를 보내면 분석해서 결과를 레포트로 보내주는 사이트입니다.
다들 아시겠지만 보통 악성코드를 찾아내면 VirusTotal이라는 사이트에 보내봅니다. 그래서 많은 백신들에 잡히게 되면 더욱 세세하게 분석을 하게되죠. 먼저 이 악성코드가 실행되면 어느 레지스터 값을 건들고 생성시키고 어떠한 파일을 생성시키는지 알아봐야합니다. 그 때 사용하는 툴로는 System Explorer에 있는 스냅샷 기능을 사용해서 알아볼 수도 있구요. 아니면
SysAnalyzer이라는 툴을 사용해 알아볼 수도 있습니다. 하지만 제가 이번에 소개할 툴로는 이 모든 기능을 분석을 해서 레포트로 보여주는 기능을 하는 툴입니다. 툴이라고 소개했지만 사이트에서도 바로 파일을 보낼 수 있습니다.

툴을 소개하겠습니다. 툴을 처음 킨 화면입니다.

툴 설명을 할 것도 없습니다. 먼저 분석을 원하는 파일을 위 칸에 경로를 얻어줍니다. 그냥 찾기하면 되겠죠.
그리고 아래는 결과를 받을 메일을 적는 곳입니다. sonicpj@nate.com 저의 메일입니다..;;

대상 파일은 악성코드를 가지고 있는 것이 있어서 악성코드를 보내보았습니다. 악성코드가 아닌 일반 파일을 보냈을 땐 단순히 결과가 대상 파일 용량, MD5값 이런 것들만 오더군요.

이제 어떤 식으로 레포트가 오는지 봐보겠습니다. 메일로 왔습니다. ( 잘 안보이시면 클릭하시면 큰 화면으로 보입니다. )

검사 날짜가 나오고 Processing time이라고 분석 시간이 나오는데 6분 3초가 걸렸습니다. 쫌 분석하는데 시간이 걸리나 봅니다. 이 점이 제가 생각하는 단점이지만 직접 VirusTotal에 파일 보내고 가상머신에서 프로그램 실행 시켜서 스냅샷 찍고 분석하는 시간과 별 차이가 없다고 생각합니다. 저같이 숙련이 안된 사람들에게는 오히려 이 편이 더 빠를 수도 있겠군요.. ^^;
그리고 나머지는 읽어볼 필요가 없네요;; 파일 크기.. MD5값 그 아래는 그냥 소개 이구요. 이제 파일을 받아서 압축을 풀겠습니다. ( 암호는 : threatexpert )라고 나와있습니다.

압축을 풀면 위와 같은 파일이 존재하게 됩니다. 더블클릭 해주시면 분석 결과가 나오게 됩니다. 무엇무엇이 분석 되었는지 봐보겠습니다.

처음 부분 입니다. 
파일 의뢰를 받은 시간
샘블파일 요약으로 해서 -  MD5값, 파일 사이즈, 여러가지 백신으로부터 분석한 결과, 보안 레벨
이렇게 나와있습니다. 레벨을 보니 많이 위험하다고 나오군요. 그 다음 분석 결과를 보시겠습니다.

해당 프로그램에서 사용된 기술이 나옵니다. 루트킷 기술도 적용되었고 트로이목마, 봇 이라고도 나와있네요. 그 다음 보시겠습니다.

파일 시스템에서 어떠한 것들이 수정됬는지 보여줍니다. 읽어보시면 다 알수 있는 내용입니다.

뭐 이 파일을 실행시켰을 때 새로 생긴 부분입니다. 메모리 수정이라고 나와있는데 하드도 메모리입니다~ ^^
보통 램을 메인메모리라고 하죠;; 뻘소리였구요. 그 다음을 보시겠습니다.

뭐 아래로 쭈욱 있습니다. 이 부분은 딱히 설명을 할필요는 없을꺼 같군요.

지금까지 보신게 보고서 결과 입니다. 직접 이렇게 분석하려면 짜증날 뿐더러 6분보다 더 걸릴 듯 싶어서 그냥 이렇게 보고서로 받는 것도 괜찮을꺼 같습니다. 그리고 파일을 직접 실행시켜야 하는 불안함도 조금 줄일수 있다랄까요??;; 뭐 가상머신에서 스냅샷 찍고 되돌리고 하는 일도 번거로울 태니까요;;

파일마다 메일이 오는 시간이 다릅니다 ^^ 유용하게 사용하세요~!
百聞不如一見 ....

'My Study > Program' 카테고리의 다른 글

알뜰가계부 비번 까먹었을 때  (4) 2010.02.26
FileInsight  (4) 2010.02.19
Zoomit 툴 소개, 다운  (0) 2009.12.15
System Explorer 사용법  (0) 2009.12.10
Cain 간단한 사용법(ID,PW 잡아내기)  (0) 2009.12.07