공부용

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」정적분석 도구와 기법 파일 유형 파악의심스러운 바이너리의 파일 유형 구분. -> 운영 시스템과 아키텍처(32비트 또는 64비트 플랫폼) 식별에 도움. 윈도우 기반 악성코드 확장자 : 대부분 .exe / .dll / .sys 등으로 끝남.그러나 공격자가 파일 확장자를 수정할 수 있음. -> 파일 시그니처를 통해 파일 유형 구분 가능. 파일 시그니처(file signature) : 파일 헤더에 작성되는 바이트의 독특한 배열 순서.*윈도우 실행 파일 또는 PE 파일 : 파일의 첫 바이트에 MZ 또는 헥사 문자 4D 5A라는 파일 시그니처를 가짐.수작업 : 헥사 편집기(hex editor)로 파일을 열어 파일 시그니처를 찾..

전통적인 정보보호체계 : 시그니처 패턴 기반의 알려진 악성 URL 탐지-> 알려지지 않은 악성 URL 탐지 불가 악성 URL 데이터를 동적 학습해 효율적으로 악성 URL 탐지하는 기법 제안머신러닝 기반 특징 선택 알고리즘 사용 -> 악성코드 분류가중 유클리드 거리(Weighted Euclidean Distance, WED)를 활용 -> 사전처리 진행난독화 요소 제거 -> 정확도 개선악성코드 : 악의적인 목적을 위해 작성된 코드악성코드 은닉사이트 / 악성 URL(Uniform Resource Locator) : 악성코드를 사용자의 PC 감염시킬 수 있는 사이트-> 이러한 공격은 웹 사이트 방문, 이메일 확인 시에 발생. 악성코드 실행 후 공격. 악성코드 은닉 여부를 탐지하기 위한 정적 분석 기법에 관한 연..

이 글은 워게임(rev-basic-0)을 풀고 정리하면 추가로 공부하면 좋을 내용을 정리한 것이다.  어셈블리어 못 읽는게 이번 워게임 풀 때는 크게 문제가 되지 않았지만, 어느 정도 알아두는 편이 좋을 것 같았다. 그래서 드림핵의 리버싱 트랙의 Assembly Essential Part를 읽으며 공부했다. 아래 내용은 해당 부분의 요약본이다.x86 Assembly🤖 : Essential Part(1), Essential Part(2) 어셈블리 언어(Assembly Language) : 컴퓨터의 기계와 치환되는 언어. 어셈블리어의 종류도 다양하다.어셈블러(Assembler) : 일종의 통역사로, 개발자가 어셈블리어로 코드를 작성하면 기계어로 코드를 치환해준다.역어셈블러(Disassembler) : 기계..