첫 안드로이드 악성코드 분석

배우지도 않은 자바를 배우게되네

http://www.popstar1.com으로 유포되는 042.apk에 관한 분석 보고서입니다.

042apk_Report.pdf

Win-Trojan/Scar.109568.U 분석

5d25e3f2a9dfb7a032089cf1dfccfa8f분석.pdf

Win32/Aimbot.worm.15872 분석

(일명 2090바이러스)

2090분석.pdf

가상메모리 변환좀 본답시고 윈도우 커널 디버깅을 할려고 했는데

찾아 보니까 윈도우 커널 디버깅은 가장 잘 알려진 방식이 두 가지가 있더라구요

첫 번째가 Windbg를 C/S방식으로 VM과 시리얼포트 연결해서 하는 방법이고,

두 번째가 Windbg와 LiveKD를 이용해서 로컬 커널 디버깅 하는 방식.

이렇게 나뉘어져 있는데..

문제는

제 컴퓨터에선 둘 다 안되더라구요 ㅡㅡ

첫 번째 방법은 디버그 모드 진입을 해도 WINDBG가 인식을 하질 않고.. 두 번째 방법은 livekd가 모듈 찾을 수 없다고 하고..(이건 제 잘못일지도 모르겠네여)

그렇게 이틀동안 해결할라꼬 별의 별짓 다하다가 오늘 발견한게 바로 이 VirtualKD!

VirtualKD는 VM머신과 연동해서 사용할 수 있는 커널 디버깅 프로그램인데요 

위 두 가지 방식과는 다르게 이건 프로그램 지 혼자서 설정 다해주고 바로바로 할 수가 있는 프로그램임다

VirtualKD의 다운로드는 여기를 클릭하시면 링크로 이동합니다!

VirtualKD의 사용 방법은 매우 간단합니다.

1. target폴더를 대상 VM에다 옮기세요.

2. vmmon을 분석할 컴퓨터에서 실행하세요(32비트의 경우, vmmon을 실행해주시고 64비트의 경우 vmmon64를 실행해주세요).

3. VM에서 target 폴더로 들어가셔서 vminstall.exe를 실행시켜주세요.

이제 준비 끝입니다. 2번에서 vmmon을 실행했는데 한번 볼까여

VM의 파이프네임을 확인해주시고 선택해주세요.

아! 그리고 디버거도 선택할 수 있습니다. 저같은 경우엔, Windbg로 디버깅을 할 것이기 때문에 debugger path를 windbg로 설정했구요.

설정을 완료하신 후에 run debugger를 누르시면 디버거가 실행되며, 정상적으로 커널 디버깅 모드에 진입한 것을 확인할 수 있습니다.

어휴 이렇게 보니까 진짜 매우 간단하네요 짱쉽져?