bob 11th 지원대상자가 이수해야 할 사전 교육에 대한 학습 일지입니다.

IDA

디스어셈블러란?

리버스 엔지니어링 시 어셈블러와 컴파일러 작업을 역으로 수행하는 툴이 필요
이러한 툴을 디스어셈블러나 디컴파일러라 칭함
어셈블리 과정을 되돌려서 결과물로 어셈블 코드를 만듦

필요한 경우

멀웨어 분석
취약점이 있는 프로그램의 소스를 알지 못할 경우 분석 필요 시
디버깅 중 프로그램의 인스트럭션을 표시하고자 할 때

특징

벨기에 리외게 지방의 헥스레이사 제품
동적 분석보다 정적 분석 기능
FLIRT(Fast Library Identification and Recognition Technology) 기능
각종 플러그인 지원
IDA로 윈도우 바이너리를 분석할 시 함수의 이름이 Sub_주소로 보임
MS 심볼 서버와 연동 시킬 경우 확인 가능

※ FLIRT: 기계어의 코드로부터 컴파일러 특유의 Library 함수를 산출해냄

Wireshark

특징

세계에서 가장 널리 쓰이는 네트워크 프로토콜 분석기
무료, 오픈 소스 프로그램(GNU: General Public License)
패킷 캡처를 위한 pcap 네트워크 라이브러리 사용

Process Monitor

특징

윈도우 시스인터널스사에서 만든 무료 툴
윈도우 레지스트리를 노린 모든 행위를 모니터하고 기록함
레지스트리 키들을 읽고 쓰려는 실패한 시도를 탐지하는데도 사용
애플리케이션들이 어떻게 파일과 DLL들을 사용하는지를 볼 수 있음

OllyDbg

특징

바이너리 코드 분석을 위한 x86 디버거
레지스터 추척, 함수, API 호출, Switch 문, 표(table), 상수, 문자열을 인식
오브젝트 파일과 라이브러리에서 루틴들의 위치를 찾아줌

Process Explorer

특징

프로세스를 관리할 수 있는 프로그램
실행중인 프로세스의 파악과 해당 프로세스의 우선권 변경, 정지, 강제 종료 등의 가능
추가 설정을 통해 메모리 사용량 등의 정보 출력 가능