PE 파일 포맷

분석 툴 : PE뷰어

분석 대상 : PEVIEWER.exe

눈여겨봐야 할 PE 구조는 다음과 같다.

- DOS_HEADER

- NT_HEADER

- SECTION_HEADER

- SECTION code, data, rsrc 등

* 오른쪽 low data에 보이는 MZ는 exe 파일의 시그니처임.

DOS 헤더에서 중요한 것은 별로 없고 마지막에 보여지는 offset to NEW EXE HEADER 부분이다. 

Dos 헤더의 마지막 부분 NT헤더의 오프셋만 보면 된다. 오프셋 정보 +  베이스 주소 -->  NT헤더 위치 있음.

시그니처

NT 헤더 구조 (3)

- signature: exe 파일의 NT 헤더 시그니처는 PE임.

- 파일헤더(파일이 언제 생성됐는지 / 어느 아키텍처로 쓰는지)

- 옵션 헤더 (테이블 헤더 정보, 코드 사이즈, 컴파일 정보) 

파일 헤더
옵션헤더 1
옵션헤더 2 - 테이블 정보

그 다음보이는 section_header code에는 메모리에 대한 접근 권한 내용이 담겨져 있다. 현재 실행, 읽기 가능한 것으로 보임.

저작자표시

'리버싱' 카테고리의 다른 글

[Reversing] #1 정리 ( 정적/동적 , 레지스터 정리)  (0) 2022.01.16
[Reversing - Wargame] Patch  (0) 2022.01.14
[Reversing - Wargame] rev-basic-1  (0) 2022.01.09
[Reversing - Wargame] rev-basic-0  (0) 2022.01.08
악성코드 - PE injection  (0) 2021.10.08

가장 대표적인 FTK imager 툴을 이용해서 디스크 이미징을 수행한다.

디스크 이미징을 수행하는 이유는 증거를 분석 시 증거를 훼손하지 않기 위해서 하는 작업이다.

쉽게 말해서 본뜨는(?) 과정이다. 자칫 분석 도중에 실제 증거가 훼손되면 큰일나기 때문에.

순서대로 설명하고자 한다.

1. Create Disk image  > 이미징할 디스크 생성하기 

2. 증거 수집하려는 형태를 고를 수 있는데 디스크 이미징에서는 대부분 첫번째인 물리적 디스크에서 이미징을 수행하기 때문에 선택.

Physical drive : 전체 디스크를 다 이미징 할 때

Logical drive : 파디션되거나 부분적인 디스크를 이미징할 때 

둘을 가장 많이 씀.

3. 이미징을 수행하려는 물리 디스크 파일 선택. 

4. 이미징할 디스크가 올라오면 Add.. 부분을 눌러서 

5. 이미징할 디스크 이미지 파일 종류 선택이 가능함.

가장 보편적으로 사용되는 것이 E01과 RAW 이다.

E01은 가장 많이 사용하는 포맷 유형이다. 해당 포맷은 암호화를 위해 해시를 사용가능하고, 증거 파일 암호화를 통해 AES 사용한다. 

* 암호화를 사용하는 이유는 혹시 이미징한 파일이 변경되거나 위조되거나 했을 때 해시값을 비교해 위변조 여부를 판단한다.

RAW는 가장 가공되지 않은 RAW DATA 느낌이다. 데이터를 추가 및 삭제 등 가공을 하지 않고 그냥 그대로의 비트 단위로 복사한다.

RAW 포맷 형태를 사용하는 이유는 E01를 이용하는 도구를 사용할 수 없거나 분석도구가 E01을 지원하지 않을 때 사용된다. 

 

6. 증거 수집을 위한 작업인 이미징 과정에서 이러한 절차에 대한 정보를 남기기 위한 파트임.

사건 번호, 증거 번호, 분석가 이름 등을 남겨서 이미징된 디스크들이 혼용되거나 헷갈리지 않게 구별한다. 

7. 이미징 후 이미징된 디스크가 저장될 위치와 이름을 지정한다.

실제라면 보통 이 이미징한 디스크를 옮겨서 외부에서 분석하기 때문에, 외장하드 등을 연결해서 대용량 디스크를 옮김.

Image Fragment size - 이미징하는 디스크를 세분화하는 설정, 얼마나 분할해서 저장할 것이냐 

Compression - 압축, 용량이 너무 크다면 압축을 높게 줘서 용량을 줄임.

 

8. 모든 설정이 끝난 후 start를 누르면 디스크 이미징이 진행된다. 시간이 꽤 걸린다는 점을 유의하자.

저작자표시

'포렌식' 카테고리의 다른 글

이미징한 디스크 기초 분석  (0) 2021.09.29

그냥 내가 쓰려고 틈틈히 추가하고 정리하는 사이트.

 

- 정규표현식 PCRE  작성 후 직접 작성한 탐지패턴을 테스트하기 좋은 용도로 사용되는 사이트 RegExr

https://regexr.com/

 

RegExr: Learn, Build, & Test RegEx

RegExr is an online tool to learn, build, & test Regular Expressions (RegEx / RegExp).

regexr.com

 

/ 탐지할 문자 /g 

TEXT 안에서 탐지할 문자를 입력하면 탐지한다는 것을 알 수 있다. 정규표현식 넘 어려워

 

- 유명한 바이러스 파일 검사 사이트 Virus Total

https://www.virustotal.com/gui/home/upload

 

VirusTotal

 

www.virustotal.com

악성파일이나 악성 사이트 등 업로드해서 악성인지 아닌지 판단해주는 URL 

아주 유용해보임. 자주 이용하고 싶음.

 

-Mitre Att&CK
https://attack.mitre.org/

 

MITRE ATT&CK®

MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se

attack.mitre.org

APT 공격에 대해 단계별 기술적 요소를 정리해둔 사이트임.

특히 세번째 Initial Access 부분은 APT 침투 단계에 대한 기술적 유형을 다양하게 소개하고 있음. 

 

-File Signature Database

포렌식에서 주로 사용하는 사이트로, 파일 시그니처를 검색하는 사이트임.

https://www.filesignatures.net/index.php?page=search 

 

File Signature Database:: Search File Signatures.

 

www.filesignatures.net

 

저작자표시

'WEB' 카테고리의 다른 글

XSS, CSRF, SSRF  (0) 2023.01.11
winscp 원격 파일 전송 프로그램  (0) 2023.01.10
웹 해킹 제작 레퍼런스  (0) 2022.12.13
웹해킹 게시판 만들기  (0) 2022.11.09
WEB 해킹 참고자료  (0) 2022.02.24

+ Recent posts

티스토리툴바