Remember

Powshell script obfuscation decode - 악성 워드 문서 내, 파워쉘로 전달되는 난독화된 문자열 해제하기 Filename : INV-840681218377.doc - MD5 : 61f2858cc90a8a2f1bc754492b0a0369 - SHA1 : c3ecb541f8ffe2597f1991b74aac2170b17be849 - SHA256 : 529024a76742a7337f1fabb0ee417ac2214be7a6a682ac8a4f4a30951e915e5e - Filesize : 225.00 KB (230400 bytes) - Detection (Virustotal 39/54) - ALYac : Trojan.Downloader.VBA.gen - AhnLab-V3 : W97M/Do..

PMON(Process Monitor)란? PMON(Process Monitor)는 말 그대로 프로세스들을 모니터링 하고 있다가 문제가 발생하면 해결해 주는 역할을 하게 된다. 실패한 프로세스가 수행하던 트랜잭션 롤백 실패한 프로세스가 획득했던 메모리, 락 및 기타 자연 할당 해제 PMON 은 Server Process 가 비정상적으로 종료될 경우 그 후속처리를 해 주는 백그라운드 프로세스이다. 1 . Process Monitor 를 실행한후 Options -> Enable Boot Logging 을 체크하여 다음 부트시부터 프로세스 상태를 로깅하도록 설정한다. 2. 다음과 같은 확인창이 나타나면 재부팅을 실시한후 프로세스 확인작업에 들어간다. 3. 재부팅 후 프로그램을 재실행시 다음과 같은 메시지 창이..

1. WSCC(Windows Sysinternals Suite) WSCC는 다양한 시스템 유틸리티 제품군에서 유틸리티를 설치, 업데이트, 실행 및 구성 할 수있는 무료 휴대용 프로그램으로 지원되는 유틸리티를 자동으로 설치하고 업데이트 할 수 있다. 또는 WSCC는 http 프로토콜을 사용하여 프로그램을 다운로드하고 실행할 수 있다. WSCC는 이식 가능하며 설치가 필요하지 않습니다. 이 버전의 WSCC는 다음 유틸리티 제품군을 지원한다. Windows Sysinternals Suite (Sysinternals Live 서비스 지원 포함) NirSoft 유틸리티 기본적으로 WSCC는 Windows Sysinternals Suite 및 NirSoft 유틸리티에서 도구를 다운로드, 업데이트 및 실행할 수 있는..

Network Tools Wireshark Microsoft Network Monitor Netcat BurpSuite Fiddler DNS Query Sniffer FakeNet-NG INetSim PE Analysis Tools PE-bear pev the PE file analysis toolkit PeStudio PEiD Resource Hacker CFF Explorer Exeinfo PE Dependency Walker Dynamic / Behavioral Analysis Tools Process Explorer Process Monitor Process Hacker CaptureBAT Sysmon API Monitor CMD Watcher Autoruns Regshot Flypaper (Pa..

개요 악성코드 동적분석에서 중요한 전체 흐름을 GUI 식으로 보여주는 도구로 Sysinternals의 Process Monitor (또는Procmon) 및 PCAP 생성 네트워크 스니퍼 (Windump, Tcpdump, Wireshark 등) 등의 도구의 로그나 pcap 파일을 이용함. 해당 프로그램은 procmon의 로나 pcap 파일을 로그파일로 읽고, GraphViz를 사용하여 사용자로 하여금 악성프로그램의 전체적인 동작을 보기 쉽게 출력해준다. 사용법은 어렵지 않으나, 로그가 많아지거나 동작이 많아지면 한눈에 프로그램의 흐름을 파악하는것이 어렵다는 단점이 있다. 프로그램 다운로드 ProcDot 다운로드 경로는 ProcDOT 을 개발한 Cert.at 홈페이지와 전용 홈페이지, 두 군데서 내려 받을 ..