[PEstudio] 악성코드 정적 분석 도구
PEstudio
악성코드 정석 분석 도구 입니다.
1. 서론
1) 도구 명 : PEstudio
2) 개요
- 악성코드에 대한 기본적인 정보, Virustotal, PE, String 를 확인할 수 있는 도구
- 초기대응 시 참조할 수 있는 자료가 많아 분석 진행을 원활하게 할 수 있게 도움
3) 버전 : ver 9.12
4) URL : https://www.winitor.com/
- 기본적인 소개 및 다운로드
Winitor
The goal of pestudio is to spot artifacts of executable files in order to ease and accelerate Malware Initial Assessment. The tool is used by Computer Emergency Response (CERT) teams, Security Operations Centers (SOC) and Labs worldwide. The following slid
www.winitor.com
2. 본론
1) 기본정보
- 악성코드 열람 시 기본적인 정보 제공(MD5, SHA1, SHA256 등)
2) indicators
- 악성코드 분석 후 Level 분류를 통해 통계
- Level 1 위험도 상
3) imports
- 악성 해위로 위심되는 부분을 그룹, 라이브러리 분류하여 정리
4) strings
- 악성 해위 문자열 부분을 인코딩, 그룹, 값 부분을 출력하여 확인 가능
3. 결론
1) 장점
- 도구 자체가 가벼워 가상환경에서도 충분히 사용 가능
- 분석에 필요한 기초적인 정보를 쉽게 수집 가능
- Virustotal 연동 해 전체적인 백신 프로그램 현황 확인 가능
- 본론 내용 외 다양한 부분 확인 가능
2) 단점
- 첨부 사진 처럼 부분(Virustotal) "warning" 로 시간이 장지적으로 소비되는 부분이 존재
- 초기적인 부분만 확인 가능 추가적으로 상세 분석 시 다른 도구 및 사이트를 이용해야 함