posted by 블르샤이닝 2013. 1. 30. 12:08
728x90


참조 : http://kyaru.blog.me/130158233727

악성코드 분석에 도움이 될만한 사이트 정리

1. 자주 쓰이는 악성코드 분석툴
2. 온라인 바이러스 스캐너 및 분석도구
3. 악성코드 유포 주소 확인 및 샘플 공유사이트
4. 전세계 악성코드들의 활동을 대쉬보드로 제공하는 사이트들
5. 악성코드 분석을 위한 가상화 및 샌드박스를 제공하는 사이트
6. 문서파일관련 악성코드 분석자료
7. 그외 공개되어 있는 악성코드 분석 도구들
8. 악성코드 분석 강좌 및 참고자료를 제공하는 사이

[1. 자주 쓰이는 악성코드 분석툴]

동적분석 도구
- 
실시간 프로세스 모니터링 (Process Explorer, Process Monitor)

- 실시간 메모리 분석 (vmmap)
- 
윈도우 시작 프로그램 분석(Autoruns)
- 실시간 레지스트리 생성 및 수정 정보 분석 (regmon)
- 실시간 네트워크 연결 분석(Cport)
- 실시간 네트워크 트래픽 및 패킷 분석(WireSharkSmsniff)

- 강력한 루트킷 탐지 도구(Gmer)
- 그외 : http://technet.microsoft.com/en-us/sysinternals/bb545027.aspx

정적분석 도구
- 대표적인 바이너리 디버깅 프로그램(OllyDbg, Immunity Debugger)
- 메모리 덤프 분석 도구(WinDbg)
- 
파일내 헥사값을 분석하기 Editor (HxD, WinHex)
- 
헥사 비교 에디터 (Beyond Compare, HexCmp)
- 
패킹 여부 확인 및 해제 도구 (UPX, PEID)
- 
파일내 스트링 검색도구 (BinText)
- PE 
포멧 및 구조 분석 도구 (PEview)
- 최고의 디스어셈블러
악성코드를 정밀 분석하기 위한 프로그램 (IDA Pro)

- 자바 소스를 출력하기 위한 디컴파일 도구 (JD-gui)

그외 추가적인 자료
- PE구조 분석 (
PE101)

- 해쉬값 체크 도구 (HashTab)

- 악의적인 행위를 추적하기 위한 도구(RegshotWinalysisSystemSherlock)



[2. 온라인 바이러스 스캐너 및 분석도구]

 

* 주요 사이트 

https://www.virustotal.com/

http://virscan.org/

http://malwr.com/
http://www.threattrack.com/

http://www.threatexpert.com/submit.aspx
http://virusscan.jotti.org/

https://mwanalysis.org/?site=1&page=submit

http://anubis.iseclab.org/

http://wepawet.iseclab.org/

-기타

http://eureka.cyber-ta.org/

https://analysis.f-secure.com/portal/login.html

https://www.microsoft.com/security/portal/submission/submit.aspx

https://www.metascan-online.com/

https://asafaweb.com/

http://www.f-prot.com/virusinfo/submission_form.html

http://eureka.cyber-ta.org/

http://camas.comodo.com/cgi-bin/submit

http://www.xandora.net/upload/

http://viruschief.com/

http://vscan.novirusthanks.org/

http://onlinescan.avast.com/

http://netscty.com/Services/Sandbox

http://ether.gtisc.gatech.edu/web_unpack/

http://www.suspectfile.com/

http://sarvam.ece.ucsb.edu/

http://enterprise.norman.com/analysis

http://zulu.zscaler.com/

그외 리스트 및 참고자료

http://www.malwarehelp.org/online_anti_malware_scanners_single_file.html

http://www.coresec.org/2011/07/26/online-malware-analysis-scanners
http://grandstreamdreams.blogspot.kr/2012/04/malware-analysis-resources.html


[3. 악성코드 유포 주소 확인 및 샘플 공유사이트]

 

실시간으로 악성코드가 심어져 있는 웹페이지나 서버의 리스트를 제공 

http://www.malwaredomainlist.com/

악성코드 분석을 위한 각종 샘플을제공하는 사이트

http://offensivecomputing.net/

안드로이드 기반 악성코드 샘플 제공

http://rogunix.com/docs/Android/Malware/

전세계에서 발생하는 실시간 악성코드 샘플들에 대하여 수집

http://malc0de.com/database/

관리자에게 메일로 아이디를 발급받아 악성코드를 제공받을 수 있다.

http://www.virussign.com/downloads.html

악성코드 유포, 피싱, 유해 사이트에 대한 DB정보 제공
http://hosts-file.net/


[4. 전세계 악성코드들의 활동을 대쉬보드로 제공하는 사이트들]

 

허니팟프로젝트를 통해 전세계에서 활동하는 웜을 포함한 각종 악성코드에 대한 실시간 정보
http://map.honeynet.org/
 


Akamai 에서24시간 인터넷 환경에 대한 모니터링을 통해 악성코드를 이용한 공격정보 모니터링

http://www.akamai.com/html/technology/dataviz1.html


카스퍼스키에서 24시간 수집하는 데이터를 바탕으로 원하는 기간에 따른 통계정보를 제공
http://www.securelist.com/en/statistics#/en/map/oas/month


트랜드마이크로에서C&C서버 및 봇넷의 활동을 실시간으로 분석
http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html


Shadowserver 단체에서 수집한 보안장비를 바탕으로 DDoS 공격 및 봇넷의 활동을 실시간으로 분석함
http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSMaps

Arbor에서 전세계 ISP업체 및 글로벌 업체와 협력하여 봇에 관점에서 분석 정보를 제공
http://atlas.arbor.net/

 

 

[5. 악성코드 분석을 위한 가상화 및 샌드박스를 제공하는 사이트]

 

악성코드를 분석하기위한 자동화된 우분투기반의 샌드박스 

http://cert.at/downloads/software/minibis_en.html

악의적인 파일에 대해 스크린샷 및 기본적인 분석정보를 제공하는 샌드박스

http://www.cuckoosandbox.org/

행위기반 분석도구 악성코드를 행위를 바탕으로 판별하기 위한 도구

http://zerowine.sourceforge.net/

행위기반의 악성코드 분석도구

http://www.mlsec.org/malheur/docs.html

프로세스의 동작과 시스템에 대한 변경사항을 분석하기 위한 버스터 샌드박스

http://bsa.isoftware.nl/

악의적인 파일에 대해 가상으로 프로그램을 설치하여 테스트할 수 있는 샌드박스

http://www.sandboxie.com/

허니팟 프로젝트에서 제공하는 샌드박스 도구

https://www.honeynet.org/node/315
http://travisaltman.com/malware-analysis-tool-capture-bat/ (
사용법)

온라인상에서 자바스크립트 PDF, HTML 파일들은 언패킹하여 분석하기 위한 사이트

http://jsunpack.jeek.org/

 


[6. 문서파일관련 악성코드 분석자료]

 

 

Office문서파일관련 악성코드 파일에 대한 분석자료
http://www.mitec.cz/ssv.html
http://www.microsoft.com/en-us/download/details.aspx?id=2096
http://computer-forensics.sans.org/blog/2012/05/29/extract-flash-from-malicious-office-documentshttp://msdn.microsoft.com/en-us/library/cc313118.aspx
http://hooked-on-mnemonics.blogspot.fr/2012/05/intro-to-malicious-document-analysis.html
http://zeltser.com/reverse-malware/analyzing-malicious-documents.html
http://blog.zeltser.com/post/23229415724/malicious-code-inside-office-documents


 

PDF파일 분석 도구
http://www.malwaretracker.com/pdf.php
http://sandsprite.com/blogs/index.php?uid=7&pid=57
http://blog.didierstevens.com/programs/pdf-tools/
http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis
http://blog.zeltser.com/post/6780160077/peepdf-malicious-pdf-analysis
http://eternal-todo.com/tools/peepdf-pdf-analysis-tool

PDF파일 분석 참고자료
http://sketchymoose.blogspot.co.uk/2012/08/pdf-analysis-request.html
http://resources.infosecinstitute.com/pdf-file-format-basic-structure/
http://blog.malwaretracker.com/

AdobeFlash/SWF 파일 분석
http://labs.adobe.com/technologies/swfinvestigator/
http://h30499.www3.hp.com/t5/Following-the-Wh1t3-Rabbit/SWFScan-FREE-Flash-decompiler/ba-p/5440167
http://betanews.com/2012/01/18/decompile-flash-files-with-hp-swfscan/

 

파이썬 기반의 HWP 파싱 도구 

https://github.com/mete0r/pyhwp

 

[7. 그외 공개되어 있는 악성코드 분석 도구들]

 

그외 오픈소스 기반 동적분석도구

파이썬기반의 웹사이트 악성코드 삽입 판별 및 취약점을 통한 공격여부를 판단하기 위한 도구

http://code.google.com/p/yara-project/

봇넷 기반의 악성코드를 분석하기 위한 네트워크 시뮬레이션 도구

http://people.bu.edu/wangjing/open-source/imalse/html/index.html

호출되는 API 및 서비스들을 추적하고 모니터링할 수 있는 도구

http://www.rohitab.com/apimonitor

실행중인 응용프로그램을 확인할  있는 도구

http://securityxploded.com/show-windows.php

웹브라우저상의 취약점을 이용한 악의적인 행위를 방지하기 위한 도구

http://www.zerovulnerabilitylabs.com/home/exploitshield/browser-edition/

TCP/UDP 연결을 추적하고 분석하기 위한 툴 (io-footprint)

http://sourceforge.net/projects/io-footprint/


그외 오픈소스 기반 정적분석도구

파이썬기반의 악성코드 정적분석도구
http://code.google.com/p/pyew/

EXE파일을 정적분석할 수 있는 간단한 도구

https://code.google.com/p/peframe/

USB 악성코드 감염 여부 검사도구

http://blog.didierstevens.com/programs/usbvirusscan/

PE파일 디지털 서명 확인 도구

http://blog.didierstevens.com/programs/authenticode-tools/

Virustotal과 연동하여 악성코드로 의심되는 파일들을 자동으로 전송하고 분석하기 위한 도구
http://www.raymond.cc/blog/xray/

바이러스 토탈 API를 이용하여 MD5해시정보를 이용한 악성코드 탐색
http://blog.didierstevens.com/2012/05/21/searching-with-virustotal/
nmap 스크립트를 이용하여 바이러스토탈의 파일 체크
http://nmap.org/nsedoc/scripts/http-virustotal.html 

 


[8. 악성코드 분석 강좌 및 참고자료를 제공하는 사이트]

 

악성코드 분석관련 강좌사이트 

악성코드 분석관련 튜토리얼 강좌

http://securityxploded.com/security-training.php

악성코드 분석에 대한 튜토리얼 자료
http://fumalwareanalysis.blogspot.it/p/malware-analysis-tutorials-reverse.html

IDA 튜토리얼 동영상 사이트
http://www.woodmann.com/TiGa/idaseries.html

기본적인 악성코드 분석 동영상
http://www.youtube.com/watch?v=592uIELKUX8

악성코드 분석 자료를 제공하는 블로그
http://blog.commandlinekungfu.com/
http://contagiodump.blogspot.com/

http://malwaremustdie.blogspot.jp/
http://www.hexacorn.com/blog/
http://www.malanalysis.com/blog/
http://windowsir.blogspot.kr/

 

그외 분석에 도움을 주는 사이트

악성코드 샘플 분석 자료 관련 코드들을 제공

http://code.google.com/p/malware-lu/

카이섹에서 제공하는 악성코드 및 취약점에 대한 분석자료

http://www.kisec.com/knowledge_channel/kiseclab?mode=list

 
NotiCe

해당 자료가 저작권 등에 의해서 문제가 있다면 바로 삭제하겠습니다.

연구 목적으로 사용하지 않고 악의적인 목적으로 이용할 시 발생할 수 있는 법적인 책임은 모두 본인에게 있습니다.

"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 정당한 접근권한이 없거나 허용된접근 권한의 범위를 초과하여 정보통신망에 침하는 행위를 금지한다.(48조 1항)

위반하면 3년 이하의 징역 또는 3000만원 이한의 벌금에 처한다.(63조 1항 1호)

주요 정보통신기반시설을 침해하여 교란·마비 또는 파괴한 자는 10년 이하의 징역 또는 1억 원 이하의 벌금에 처하도록 규정하고 있다(28조 1항).

또 형법에서도 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 그밖의 방법으로 정보처리에 장애를 발생하게 한 자는 업무방해죄로 5년 이하의 징역 또는 1500만 원 이하의 벌금에 처하도록 규정하고 있다(314조 2항).

728x90

'분석' 카테고리의 다른 글

REMOTE IDA 설정  (0) 2013.03.25
MBR 분석을 위한 WINDBG 단계  (0) 2013.02.05
NGR Rootkit  (0) 2012.06.15
javascript deobfuscator  (0) 2012.05.03
네이트온에서 당함 악성 파일에 대한 분석보고서  (0) 2011.08.05