[악성코드] 도구 다뤄보기

snapshot

작업하다가 뒤로 뒤돌려야 할 때 스냅샷 찍은곳으로 원상복귀 가능

 

---

윈도우 shell

dll 확인 가능

 

 

---- (시스템 모니터링 도구)

Autoruns프로그램을 통해

의심스러운 네트워크 통신 있는지

의심스러운 설치파일 있는지 부팅할때 실행되는 특정 경로에 있는지 이런것들을 이 도구를 통해 확인 가능

 

----- 리버싱

 

 

exe파일은 혼자 실행되기 어려움 윈도우api필요

윈도우 api 이 dll 에 저장되어있다.

 

변수 = 메모리 주소

함수 = 코드 블록

함수를 호출하고 실행한 결과는 eax 레지스터를 통해 전달된다.

 

구조환된 파일 포멧(PE, ELF 등등) -  그 파일을 읽어서 메모리에 맞게 로드해서 실행시켜줘야한다.

로더를 통해 메모리에 로드 시켜준다.