본문 바로가기
[시스템툴] Sysinternals Tools Update - Sysmon v1.0, Autoruns v12.01, Coreinfo v3.3, Procexp v16.03 Sysinternals Tool 중 몇가지가 업데이트 되었네요! 링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!! 이번 업데이트에서는 시스템 모니터링을 할 수 있는 Sysmon v1.0 이 새롭게 선보였으며,기존의 Autoruns v12.01, Coreinfo v3.3, Procexp v16.03 가 업데이트가 되었습니다. 오랫만에 Procesxp 가 업데이트가 되었네요.뭐 별로 바뀐건 없어보입니다만 ㅎㅎㅎ 새로운 툴인 Sysmon은 기존의 시스템관리에서 이벤트들을 확인 할 수 있는 툴로 보이네요. - 업데이트 목록(클릭하시면 새창으로 이동합니다)Sysmon v1.0 : We’re excited to announce Sysmon, a new Sysinternals utility that monit.. 2014. 8. 11.
[분석툴] Converter Tool을 이용하여 특정 데이터를 리틀엔디언(Little-Endian)으로 변환하는 방법 분석을 하다보면 HEX 값을 ASCII로 변환 해야 하는 경우가 다수 있다. 보통 ShellCode를 살펴보다 보면 이런 값들을 많이 보게 되는데 한가지 예시를 들어보자. 0x68FFFFFE, 0x3A707474 -> 이 값을 ASCII로 변환해 보면 "h ?ptt" 이러한 값이 보여진다. 유추 해 보자면 이 값은 "http:" 를 나타나는 HEX 값일 것이다. 그럼 리틀엔디언(Little-Endian) 방식으로 값을 변환 해서 아래와 같은 값으로 바꾸면 된다. (※ 변환값을 알기 쉽도록 2바이트마다 (숫자)로 표기함) 0x68(1)FF(2)FF(3)FE(4), 0x3A(1)70(2)74(3)74(4) : (원본) ↓ 0xFE(4)FF(3)FF(2)68(1), 0x74(4)74(3)70(2)3A(1) :.. 2014. 7. 11.
[시스템툴] Sysinternals Tools Update - AccessChk v5.2, PsExec v2.11, Sigcheck v2.1, VMMap v3.12 Sysinternals Tool 중 몇가지가 업데이트 되었네요! 링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!! 이번 업데이트에서는 AccessChk v5.2; PsExec v2.11; Sigcheck v2.1; VMMap v3.12 가 업데이트가 되었습니다. - 업데이트 목록(클릭하시면 새창으로 이동합니다)AccessChk v5.2 : This release of AccessChk, a security command-line utility that reports the effective access and permissions of files, registry keys, processes, and more, adds support for file and printer shares. In add.. 2014. 5. 12.
[시스템툴] Sysinternals Tools Update - Process Explorer v16.02, Process Monitor v3.1, PSExec v2.1, Sigcheck v2.03 Sysinternals Tool 중 몇가지가 업데이트 되었네요! 링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!! 이번 업데이트에서는 분석 시 많이 사용하는 Process Explorer v16.02, Process Monitor v.3.1 가 업데이트가 되었습니다. 특히, Process Explorer 는 v16으로 버전업하면서 바이러스토탈(VirusTotal)과 연동이 가능하다. 이 관련 된 내용은 아래의 블로그에 가면 좀 더 자세히 알 수 있다. [울지않는 벌새] VirusTotal 검사 기능이 추가된 Sysinternals Process Explorer 16.0 버전 (2014.1.30) - 업데이트 목록(클릭하시면 새창으로 이동합니다) Process Explorer v16.02 : Thi.. 2014. 3. 11.
[분석툴] YARA 2.0 업데이트 (2013-12-26) 디텍트툴로 많이 알려진 야라(YARA)가 2.0버전으로 업데이트 되었네요. 이번 2.0 버전 업데이트에서는 1.x 버전과는 다른 엄청난 속도를 자랑한다고 합니다. 특히, 1.x 보다 140배 빠르고, 멀티 스레딩을 지원하기 때문에 검사속도를 증가 시켰다고 하네요. (개인적으로 테스트 해보니, 정말 엄청난 속도를 자랑하고 느린 Rule에 대해서 경고도 보여주는군요!! 굿!!) 야라(YARA)는 현재 많은 곳에서 사용하고 있으나, 가장 유명한 곳은 아래와 같은 곳입니다. - VirusTotal Intelligence (https://www.virustotal.com/intelligence) - jsunpack-n (http://jsunpack.jeek.org) - We Watch Your Website (h.. 2013. 12. 31.
[시스템툴] Sysinternals Tools Update - PsExec v2.0, RAMMap v1.3, Sigcheck v2.0 Sysinternals Tool 중 몇가지가 업데이트 되었네요! 링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!! - 업데이트 목록(클릭하시면 새창으로 이동합니다) PsExec v2.0 : PsExec, a popular utility for executing processes on remote systems, introduces a new option, -r, that specifies the name PsExec assigns to its remote service. This can improve performance when multiple users are interacting concurrently with a system, since each will have a dedicated Ps.. 2013. 10. 26.
[분석툴] OllyDBG v2.01 업데이트 올리디버거(OllyDBG)는 리버싱의 기본이며, 리서버의 손과 같은 프로그램이다. 그동안 1.x 버전대만 계속 사용을 해왔는데, 이제 어느정도 올리디버거도 2.x버전이 베타테스트는 끝났나고 볼 수 있으니 모두 2.x 버전으로 물갈이 할 때가 온 것 같다 ㅎㅎ 위키백과에 보면 올리디버거를 아래와 같이 설명하고 있다. OllyDbg는 2진 파일 분석기이자 x86 디버거 가운데 하나로, 만든이는 Oleh Yuschuk이다. 레지스터를 복사함과 더불어 프로세스, API 호출, 스위치, 테이블, 상수, 문자열 등을 알아내며 오브젝트 파일과 라이브러리로부터 루틴을 찾아낸다. 최근 2.0 버전이 공개되었으며 64비트 환경과 새로운 플러그인은 미리보기 버전에서 지원 중이다. 윈도용이며 소스 코드는 공개되어 있지 않다... 2013. 10. 3.
[시스템툴] Sysinternals Tools Update - Autoruns v11.70, Bginfo v4.20, Disk2vhd v1.64, Process Explorer v15.40 Sysinternals Tool 중 몇가지가 업데이트 되었네요! 링크 연결 하오니~ 필요하신 분들은 다운로드 받으세요!! 이번 업데이트에서는 제가 주로 사용하는 Autoruns, Process Explorer 프로그램이 업데이트 되었네요. - 업데이트 목록(클릭하시면 새창으로 이동합니다) Autoruns v11.70 : This release of Autoruns, a powerful utility for scanning and disabling autostart code, adds a new option to have it show only per-user locations, something that is useful when analyzing the autostarts of different acc.. 2013. 8. 27.