반응형
개요
악성코드 동적분석에서 중요한 전체 흐름을 GUI 식으로 보여주는 도구로 Sysinternals의 Process Monitor (또는Procmon) 및 PCAP 생성 네트워크 스니퍼 (Windump, Tcpdump, Wireshark 등) 등의 도구의 로그나 pcap 파일을 이용함.
해당 프로그램은 procmon의 로나 pcap 파일을 로그파일로 읽고, GraphViz를 사용하여 사용자로 하여금 악성프로그램의 전체적인 동작을 보기 쉽게 출력해준다. 사용법은 어렵지 않으나, 로그가 많아지거나 동작이 많아지면 한눈에 프로그램의 흐름을 파악하는것이 어렵다는 단점이 있다.
프로그램 다운로드
ProcDot
다운로드 경로는 ProcDOT 을 개발한 Cert.at 홈페이지와 전용 홈페이지, 두 군데서 내려 받을 수 있다.
GraphViz
ProcDOT 은 GraphViz 를 사용하여 그래프를 그리기 때문에 GraphViz 가 설치되어 있어야 한다.
- GraphViz 공식 웹 페이지 : 다운로드
Procmon, Windump, Tcpdump
Procmon은 악성 프로그램의 로그를 수집하는데 필요한 필수 프로그램이다.
해당 프로그램의 설치 방법은 아래 홈페이지에서 참고
출처: https://elfmfl.tistory.com/28 [Elfmfl]
반응형
'IT > malware' 카테고리의 다른 글
Powshell script obfuscation decode :: with api monitor (0) | 2022.09.08 |
---|---|
[malware] 악성코드 분석도구 사용법 :: Process monitor (0) | 2022.08.26 |
악성코드 분석 도구 모음 :: Sysinternals Suite (0) | 2021.06.12 |
악성코드 분석 도구 :: Malware Analysis Tool (0) | 2021.06.11 |