[SK 쉴더스 루키즈] 기초 동적 분석 도구 (procmon, procexp, regshot, SysAnalyzer)

동적 분석 환경 구성

• 가상 머신, 스냅샷 기반
  • 감염 후 즉시 롤백이 가능하도록
• 실제 인터넷과 분리, INetSim 등으로 가짜 서비스 제공
  • malware 분석용 “가짜 인터넷” 서버
  • INetSim: 분석 환경에서 인터넷 서비스르 흉내내는 가짜 서버

 

동적 분석 도구

1. procmon

실시간 시스템 활동 추적하는 도구

파일 시스템, 레지스트리, 프로세스/스레드, 네트워크 이벤트를 한 화면에 나타낸다.

 

필터링

필터를 걸어서 프로세스 이름에 notepad 문자열을 포함하는 것들을 보고자 한다.

 

잘 필터링 되었다.

 

 

검색

 

 

Stack

Properties > Stack

 

 

2. Process Explorer (procexp)

프로세스 트리, 핸들, DLL, 서명, VirusTotal 평판 확인 가능

비정상 부모-자식 관계, 미서명, 디스크 경로 없는 프로세스가 발견되면 의심!!!

 

notepad.exe

 

peview.exe

 

virustotal

 

나는 win XP환경에서 해서 internet explorer가 막혀있어서 안되는 거 같긴한데 정상적으로 실행되는 모습을 보고 싶다면 다음의 블로그를 참고하면 된다. [링크]

 

검색

3. regshot

(악성코드) 실행 전후의 레지스트리 및 파일 시스템의 변경 사항을 스냅샷을 찍어 비교 해주는 도구

shot 누르고 여러 행동하고 2 shot 누르고 또 다른 행동하면 이 두 개 행동을 비교해서 알려준다.

 

비교 결과 파일

 

 

4. SysAnalyzer

실행 전, 후 시스템 상태를 자동으로 비교해 보고서를 생성하는 올라운더 동적 분석 도구

 

4가지 도구가 통합된 버전의 도구.

1. sniffHit
   • proxy
2. ApiLogger
   • procmon이랑 비슷
   • Win32 API
3. Directory Watcher
   • procmon이랑 비슷
4. Packet Capture
   • pcap 생성

결과 화면

 

sysanalysis  prowatch : 지나간 정보도 보여준다. 

 

 reg monitor

필요한 정보만 잘 보여줌. regshot에서는 번잡한 거 다 보여줌.

 

 

API Log

단점: 딱 실행한 파일 로그만 보임

-> api hooking 방식이라 그럼.

 

api hooking이란?

 

프로그램이 원래 호출하려던 Windows API를 중간에서 가로채서(hook) 다른 코드가 먼저 실행되게 만드는 기술

흐름은 보통 이렇다.

원래 프로그램
↓
CreateFile()
↓
kernel32.dll 호출

근데 Hooking 하면:

원래 프로그램
↓
Hook 함수
↓
(로그 남김 / 차단 / 조작)
↓
진짜 CreateFile()

즉 API 호출 흐름 사이에 끼어드는 것이다.

 

 

sniff_hit

웹 요청/응답 볼 수 있음