공부 발자취

계산기를 분석하며 PE 구조를 공부해보자. (계산기 파일은 Windows >System32 폴더에 있다) (분석 툴은 Peview를 사용했다) 1. PE 구조 *PE란: PE 파일은 크게 PE 헤더와 PE 바디로 나뉜다. 초록색 네모가 PE 헤더, 하늘색 네모가 PE 바디이다. 2. PE 헤더 PE 헤더에는 파일을 실행하기 위한 전반적인 정보가 구조체 형식으로 저장되어 있다. 1) IMAGE_DOS_HEADER PE 헤더 제일 앞부분에는 기존 DOS EXE Header를 확장시킨 IMAGE_DOS_HEADER 구조체가 존재한다. 가장 중요한 필드는 e_magic과 e_lfanew이다. e_magic 필드는 MZ(4D 5A)로 값이 고정되어 있으며 PE 파일이 맞는지 확인할 때 쓰인다. e_lfanew는 ..

공백이 한 달쯤 있었던 것 같다.. 나는 그 동안 petya 랜섬웨어를 분석했다. 첫 랜섬웨어 분석이라 지인의 도움을 받았음에도 많이 헤멨고, 아직 완벽하게 분석을 끝내지도 못했다. 추후에 추가 분석을 진행하기로 하고, 며칠 미뤘던 분석 정리를 하려고 한다. 분석은 2021.08.04 ~ 2021.08.27 동안 진행됐다. (사실 앞 2주간은 어떻게 하는건지 감 잡으면서 한창 삽질만 했고 마지막 일주일에 거의 모든 내용이 나왔다) (나중에 추가/수정 해야하는 부분은 녹색으로 적겠다) 목차 Petya란 분석 환경 정적 분석 동적 분석 1. Petya란 페트야(petya)는 마이크로소프트 윈도우 기반 시스템을 대상으로 하며 마스터 부트 레코드(MBR)를 감염시켜 하드 드라이브의 파일 시스템 테이블을 암호화하..