ghidra7 [실습] 악성코드의 '지문'을 채취하라! 🕵️♂️ 강력한 탐지를 위한 유니크 헥사(Hex) & 문자열 선별 기술 안녕하세요, 명사수 보안 분석가 여러분! 🔫지난 시간에 YARA 룰의 이론(Meta, Strings, Condition)을 배웠습니다. "문자열과 조건을 조합해서 탐지한다"는 원리는 이해하셨죠?하지만 이론보다 더 중요한 것은 "도대체 '어떤' 문자열을 써야 하는가?"입니다.아무거나 골라잡으면 윈도우 계산기(calc.exe)를 악성코드라고 탐지하는 대참사(오탐)가 벌어지거나, 해커가 글자 하나만 바꿔도 탐지에 실패(미탐)하게 됩니다.오늘은 분석이 끝난 악성코드 샘플에서, 다른 정상 파일과는 겹치지 않는 '절대적인 유니크(Unique) 시그니처'를 선별해내는 실습을 진행하겠습니다.이것만 잘해도 여러분의 YARA 룰은 명품이 됩니다! ✨ 1. 💎 '유니크함'이란 무엇인가? (Golden Rule)시그니처를.. 2025. 12. 18. [실습] 악성코드의 심장을 찾아라! 🫀 암호화·네트워크 함수 위치 특정 및 코드 정밀 분석 안녕하세요, 끈기 있는 보안 연구원 여러분! 🕵️♂️지난 시간, 우리는 메타데이터(IAT, 문자열)를 통해 악성코드가 "무슨 도구"를 챙겼는지 확인했습니다. "음, 암호화 도구(CryptEncrypt)와 통신 도구(InternetOpen)를 챙겼군. 랜섬웨어 같아!"하지만 이것만으로는 부족합니다. 범인이 칼을 샀다고 해서 무조건 범죄를 저지른 건 아니죠. "언제, 어디서, 어떻게 그 칼을 휘둘렀는지" 현장을 덮쳐야 합니다.오늘은 리버스 엔지니어링 도구(Ghidra 또는 IDA)를 사용하여, 악성 행위가 실제로 일어나는 코드의 심장부(Core Logic)를 찾아내고 분석하는 실습을 진행하겠습니다.이 기술을 익히면 수만 줄의 코드 속에서 헤매지 않고, 단 3번의 클릭으로 핵심 로직으로 이동할 수 있습니다.. 2025. 12. 14. [심화] "그 함수, 진짜 그냥 복사만 할까?" 🕵️♂️ 분석가가 놓치는 은밀한 서브루틴, AI로 검거하기 안녕하세요, 깊이 있는 분석을 지향하는 보안 연구원 여러분! 🦅우리가 악성코드를 분석할 때 가장 많이 하는 실수가 무엇일까요? 바로 "가정(Assumption)"입니다.main 함수에서 수많은 CALL 명령어를 만납니다. "음, FUN_00401200? 내부를 보니 파라미터 두 개 받고 루프 도네? 그냥 strcpy나 memcpy 같은 문자열 복사 함수겠지. 패스!"...하고 넘어가는 순간, 여러분은 악성코드 제작자의 함정에 빠진 걸 수도 있습니다. 😱 악성코드 제작자들은 분석가들이 귀찮아서 건너뛸 만한 '단순해 보이는 서브루틴' 안에 암호화 해제 로직이나 안티 디버깅 코드를 숨겨두곤 하거든요.오늘은 분석가가 무심코 지나치기 쉬운 서브루틴(Subroutine)의 숨겨진 발톱을 AI와의 교차 검증을 통.. 2025. 12. 11. [실습] "AI야, 그 말 진짜야?" 🤨 AI 분석 결과와 어셈블리(Assembly) 코드 교차 검증하기 안녕하세요, 보안 꿈나무 여러분! 🌱지난 시간에는 AI에게 복잡한 코드를 던져주고 "이게 무슨 기능이야?"라고 물어보는 치트키를 썼습니다. AI가 "이건 랜섬웨어 암호화 로직입니다!"라고 딱 알려주니 정말 편했죠?하지만 잠깐! ✋"보안 분석가는 의심하는 것이 직업입니다."AI는 정말 똑똑하지만, 가끔 없는 사실을 지어내거나(Hallucination), 뉘앙스를 틀리게 해석할 때가 있습니다. AI가 "암호화"라고 했지만 실제로는 그냥 "인코딩"일 수도 있고, "삭제"라고 했지만 "이동"일 수도 있죠.그래서 오늘은 AI의 설명을 '참고자료'로 삼아, 실제 '진실의 방'인 어셈블리(Assembly) 코드와 대조해 보는 법을 배울 겁니다. 이 과정을 거쳐야 비로소 "분석 끝!" 도장을 찍을 수 있거든요.어셈블.. 2025. 12. 11. [실습] 복잡한 함수도 3초 컷? ⏱️ 기드라(Ghidra)로 추출하고 AI로 요약하는 실전 분석 루틴! 안녕하세요, 보안 탐험가 여러분! 🕵️♀️🕵️♂️지난 시간까지 우리는 분석 환경을 구축하고, AI에게 '제대로' 질문하는 프롬프트 엔지니어링 기초를 다졌습니다. 이제 이론은 충분합니다. 실전으로 들어갈 때가 되었습니다! 🔥실제 악성코드를 분석하다 보면 main 함수 하나만 달랑 있는 경우는 거의 없습니다. 수십, 수백 개의 함수들이 거미줄처럼 얽혀있죠. 🕸️ 이 중에서 "진짜 중요한 기능을 하는 함수(Key Function)"를 찾아내고, 그 기능을 빠르게 파악하는 것이 분석가의 실력입니다.하지만 어셈블리어와 복잡한 C 의사 코드(Pseudo-code)를 눈으로만 따라가다 보면 금방 지치기 마련입니다. 😵💫오늘 실습에서는 기드라(Ghidra)에서 핵심 함수를 "콕" 집어내서, AI에게 던.. 2025. 12. 11. [실습] 내 생애 첫 리버스 엔지니어링! 🧑💻 'Hello World'를 기드라(Ghidra)로 뜯어보고 AI에게 물어보자 안녕하세요! 보안 꿈나무 여러분 🌱지난 시간에 우리는 강력한 무료 리버스 엔지니어링 도구인 기드라(Ghidra) 설치를 마쳤습니다. 도구를 설치했으면 이제 써봐야겠죠?하지만 처음부터 거창한 악성코드를 분석하려고 하면 머리만 아프고 금방 지쳐버립니다. 🤯 그래서 오늘은 가장 기초적이지만 가장 중요한 첫걸음, "Hello World" 프로그램을 분석해 볼 거예요."에이, Hello World는 그냥 출력만 하는 거잖아요?" 라고 생각하시나요? 네, 맞습니다! 하지만 '우리가 아는 소스코드'가 '컴퓨터가 이해하는 기계어'로 바뀌고, 그걸 다시 '우리가 알아볼 수 있게 복원(디컴파일)'하는 과정을 이해하는 데 이만한 예제가 없습니다.여기에 우리의 든든한 지원군 생성형 AI까지 합세한다면? 리버스 엔지니어링,.. 2025. 12. 11. 이전 1 2 다음
