ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • [2021/09/01][짤막한 이야기 - 언패킹(필요성)]
      짤막한 이야기 2021. 9. 1. 11:23
      728x90
      반응형

      [2021/09/01][짤막한 이야기 - 언패킹(필요성)]
      앞서 “패킹된 코드”는 “언패킹 코드”에 의하여 “실행 직전”에 자동으로 언패킹된 후 실행된다고 하였다.
      그럼에도 불구하고 미리 언패킹을 해서 파일 형태로 재구성하는 과정이 왜 필요할까?
      분석을 용이하게 하는 과정의 목적은 단 하나이다.
      악성코드에 해당 보호 기술이 적용될 경우를 우려하는 것이다.
      즉, “악성코드”에 “코드 패킹”이 적용될 경우 이의 분석이 어려워지는 것이다.
      이 경우 2가지 문제점이 발생한다.
      첫번째는 시그니처 훼손에 의한 미탐이다.
      악성코드는 특정 바이트열을 포함하거나 특정 해쉬값을 생성한다.
      이를 시그니처라고 하는데, 패킹이 된 악성코드는 시그니처가 달라지므로 안티바이러스에서 탐지를 하지 못한다.
      두번째는 기능성 은닉에 의한 분석 지연이다.
      악성코드의 고유한 기능을 정적(실행하지 않고)으로 파악하기 어려워지는 것이다.
      그러면 동적(실행하면서)으로 파악하면 되지 않는가?
      그럴 경우 가상환경 구축이 필요하거나 악성코드에 감염되어야 한다.
      따라서 미리 언패킹된 상태의 악성코드를 생성함으로써 시그니처도 파악하고 정적 분석이 용이하게 만드는 것이다.
      [관련된 짤막한 이야기 - 코드 패킹[2021/01/15]]
      [관련된 문서 - 핀툴 프로그래밍 기본서[제3부. 핀툴로 UPX 언패킹하기]]
      #이야기 #루니프 #핀 #핀툴 #패킹 #언패킹 #분석 #개발 #구현 #악성코드

      [2021/09/01][Short Story - Unpacking(Necessity)]
      Earlier, it was said that "Packed Code" is automatically unpacked "Before Execution" by "Unpacking Code" and then executed.
      Nevertheless, why is the process of unpacking in advance and reconstructing it into a file format?
      The process of facilitating analysis has only one purpose.
      Analysts are concerned about the case where the corresponding protection technique is applied to malware.
      In other words, when “Code Packing” is applied to “Malware”, it becomes difficult to analyze it.
      In this case, two problems arise.
      The first is the false negative caused by signature damage.
      The malware contains specific bytes or generates specific hash values.
      This is called a signature, and antivirus cannot detect the packed malware because the signature is different.
      The second is analysis delay due to functionality hiding.
      It becomes difficult to analyze statically (without executing) the unique functionality of the malware.
      Then why not figure it out dynamically (while running)?
      In that case, it is necessary to build a virtual environment or to be infected with malware.
      Therefore, by generating the malware in an unpacked form in advance, the signature is also identified and static analysis is made easy.
      [Related Short Story - Code Packing[2021/01/15]]
      [Related Documents - Basic Book for PinTool Programming[Part3. Unpacking UPX with PinTool]]

      #Story #LootNiP #Pin #PinTool #Packing #Unpacking #Analysis #Development #Implementation #Malware

      728x90
      반응형

      '짤막한 이야기' 카테고리의 다른 글

      [2021/09/03][짤막한 이야기 - 최대구간합]  (0) 2021.09.03
      [2021/09/02][짤막한 이야기 - 인덱스 트리]  (0) 2021.09.02
      [2021/08/31][짤막한 이야기 - 코드 패킹(예시)]  (0) 2021.08.31
      [2021/08/30][짤막한 이야기 - 동형 검사]  (0) 2021.08.30
      [2021/08/29][짤막한 이야기 - 동형]  (0) 2021.08.29

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바