Egloos | Log-in

2008년 07월 28일

악성코드 분석에 도움이 될만한 도구 - oSpy

얼마전에 WebSense사의 블로그를 통해 oSpy라는 프로그램이 소개되었습니다. 간단하게 사용해봤는데 첫 느낌은 괜찮네요. Step by Step 사용법은 WebSense사의 블로그프로그램 공식 페이지에 가시면 확인가능 합니다. Advanced한 사용까지는 아니더라도 간단한 모니터링 기능은 직관적으로 사용할 수 있네요. 특히 IDA와 연동하는 부분이 상당히 인상적입니다.

프로그램이 약간 불안한 부분이 있긴한데... 모니터링 기능은 쓸만합니다.

API후킹기법을 사용해서 악성코드가 특정 행위(예. send, recv등)를 할 때 내부적으로 함수 리턴되는 위치를 알려줌으로써 분석을 쉽게 도와주는 부분이 맘에 드네요.

관심있으신 분은 한번 받아서 써 보시기 바랍니다.






이글루스 가든 - professional secur...

by fullc0de | 2008/07/28 16:19 | 보안 | 트랙백 | 덧글(5)

Commented by fullc0de at 2008/07/28 16:22
0x0040ab16 부분이 recv에 대한 return address 값인데.. IDA와 연동하는 기능을 통해 확인해볼 수 있습니다. 이미지에서 표시해둔다는걸 깜박했네요. -_-;;
Commented by 유완킴 at 2008/07/28 16:57
안녕하세요. ^^
좋은정보 담아갑니다. ㅎㅎㅎ

더운여름 건강 조심하시고
시원하게 보내시길 바랍니다.
Commented by fullc0de at 2008/07/28 17:00
유완킴 // 이글루스 운영팀에 계시는 군요^^ 반갑습니다.~
Commented by hkpco at 2008/07/28 22:38
wa~, IDA와 연동까지.. 멋진 툴이네요.ㅎㅎ
그런데 저것은 irc 봇!? 0_0;;
Commented by fullc0de at 2008/07/28 23:18
hkpco // 와우~ 눈썰미가 좋으시네요 ㅋㅋ 그건그렇고... 홈페이지 멋지게 여셨군요~ ㅎㅎ 자주 들를께요~
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

◀ 이전 페이지          다음 페이지 ▶