악성코드 분석 가상환경 구축
- 공부/개인적 공부 공간
- 2020. 1. 28. 19:49
악성코드 분석 시 동적 분석을 진행하기 위하여 가상 머신인 VMware workstation(유료), Virtual Box(무료) 등을 보통 사용한다.
VMware 유료버전을 사용하는 이유는 snapshot이라는 기능이 있기 때문인데, 해당 기능은 악성코드 실행 전의 상태를 사진을 찍는 것처럼 찍고 난 후 언제든 그 스냅샷을 찍은 상태로 돌아갈 수 있기 때문입니다.
VMware 무료 버전 다운로드 링크 : https://www.vmware.com/products/workstation-player.html
Workstation Player : Run a Second, Isolated Operating System on a Single PC with VMware Workstation Player
VMware Workstation Player allows you to run a second, isolated operating system on a single PC.
www.vmware.com
Virtual Box 다운로드 링크 : https://www.virtualbox.org/wiki/Downloads
Downloads – Oracle VM VirtualBox
Download VirtualBox Here you will find links to VirtualBox binaries and its source code. VirtualBox binaries By downloading, you agree to the terms and conditions of the respective license. If you're looking for the latest VirtualBox 6.0 packages, see Virt
www.virtualbox.org
각자 필요한 가상 머신을 다운로드한 후,
Fireeye에서 개발한 flare-vm이라는 파일을 설치해보자.
flare-vm은 악성코드 분석가들이 가장 많이 사용하는 툴들을 모아 스크립트 형식으로 간편하게 분석 도구 및 환경들을 자동으로 구축해주는 프로그램이다.
flare-vm에 대한 설명, 다운로드 링크 및 설치 방법은 다음 링크에 자세히 나와있다.
flare-vm 설명 및 설치방법 링크 : https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html
FLARE VM: The Windows Malware Analysis Distribution You’ve Always Needed!
As a reverse engineer on the FLARE Team I rely on a customized Virtual Machine (VM) to perform malware analysis.
www.fireeye.com
flare-vm 다운로드 링크 : http://boxstarter.org/package/url?https://raw.githubusercontent.com/fireeye/flare-vm/master/flarevm_malware.ps1 (Internet Explorer – IE 환경에서만 가능)
flare-vm설치를 하게 되면 바탕화면에 FLARE 폴더가 생기는데, 해당 폴더를 열게 되면 악성코드 프로그램 별로 분석도구를 나뉘어 있어 분석도구를 찾고 이용하기 용이하다.
각 분석 도구의 이용방법들은 다음 포스트에 게시할 예정이다.
'공부 > 개인적 공부 공간' 카테고리의 다른 글
| 정적 분석 도구 PEStudio 설명 (0) | 2020.01.29 |
|---|---|
| 난독화 해제 도구(CyberChef) 사용방법 (0) | 2020.01.29 |
| Wireshark 와이어샤크 이용방법 (0) | 2020.01.28 |
| 악성코드 정의 및 분석 절차 (0) | 2020.01.28 |
| ASLR 제거하기 (0) | 2019.01.16 |
