반응형 정보보호40 LiME: 리눅스 및 안드로이드 메모리 획득 도구 이 글은 LiME의 메뉴얼 내용을 토대로 설치방법부터 사용방법까지 정리한 글로, 실제 운용 환경에는 맞지 않을 수 있으니 LiME 공식 개발 페이지의 가이드를 참고하시기 바랍니다. 1. LiME이란? LiME(과거 명칭 DMD)은 안드로이드 기반 장치를 포함한 리눅스 시스템의 휘발성 메모리 취득을 가능하게 하는 Loadable Kernel Module (LKM)입니다. 이 도구는 장치의 파일 시스템이나 네트워크를 통해 메모리를 획득할 수 있는 기능을 지원합니다. LiME은 안드로이드 장치로부터 전체 메모리 캡처를 할 수 있는 최초의 도구로서, 취득 과정에서 사용자 공간과 커널 공간 프로세스 간의 상호작용을 최소화함으로써 다른 리눅스 메모리 취득 도구들보다 더 포렌식적으로 안정된 메모리 덤프를 생성합니다... 2024. 3. 11. Win32.Trojan.Pearmor.416768: 트로이목마 악성코드 분석 Win32.Trojan.Pearmor.416768 악성코드는 이동식 디스크를 통해 자신을 전파하며, 시스템 디렉토리 및 루트 디렉토리에 자기자신을 복사하는 특징을 가지고 있습니다. 이 글에서는 해당 악성코드가 어떻게 동작하는지 살펴보도록 하겠습니다. Win32.Trojan.Pearmor 악성코드 기본 정보 종류 Trojan 위험도 낮음 감염경로 이동식 디스크 증상 시스템 설정 변경 플랫폼 Windows 크기 416,768byte 암호화 여부 비암호화 팩킹 ASPack 2.12 MD5 2F450D4CF7E655AF0DDFF5B928C17FE0 SHA1 B7D53FD7DA65B86937E4AB2E765195DC2F4AE858 VirusTotal 정보 Antivirus Result AhnLab-V3 Win-T.. 2024. 3. 11. Win32/Backdoor.Worm.IRCBot.23552: 세부 코드 분석 내용 이 글은 Win32/Backdoor.Worm.IRCBot.23552를 분석하는 과정에서 해당 악성코드 내부에 어떤 코드가 코딩되어있었는지 분석한 내용에 대해서 개인적으로 정리한 내용입니다. 개인 분석 및 메모용으로 작성된 것이기 때문에 해당 내용만으로는 전체적인 이해가 어려울 수 있으니 참고바랍니다. 최초 실행 파일(usb를 통한 감염 시) 분석 내용 -------------------------------------------- 29A05F7D 최초 메인 루틴 -------------------------------------------- 29A0607E 자기 복제 루틴을 실행한다.(29A068F0) 29A06091 현재 실행되고 있는 프로세스가 c:\windows\system\smsc.exe인지 확인.. 2024. 3. 11. Win32/Backdoor.Worm.IRCBot.23552:악성코드 C&C 서버 분석 이번 글에서는 Win32/Backdoor.Worm.IRCBot.23552의 서버의 구성은 어떻게 되어있고 악성코드와 어떤 방식으로 통신하는지 정리해보겠습니다. IRCBot Server 정보 Win32/Backdoor.Worm.IRCBot.23552는 IRCBot이므로 해당 악성코드의 서버는 IRC Server 입니다. 서버는 채팅 채널을 생성해두고 악성코드가 감염된 PC와 통신하면서 해당 채널에 접속된 Bot화된 좀비 PC에 명령을 내립니다. 현재 서버 작동 여부 미작동 기본정보 서버 종류 IRC Server 도메인 b.vspcord.com IP 주소 211.233.91.10 Port 번호 988 추가정보 패스워드 h4xg4ng 채널명 #lox IRCBot의 명령 실행 방법 감염 PC의 명령실행은 접속된.. 2024. 3. 11. 이전 1 ··· 6 7 8 9 10 다음 반응형
