반응형
<DFRWS USA 2019> - 1일차
【 2019. 7. 14. 】
□ Workshop 4 : 오픈소스 악성코드 분석도구 ‘Ghidra’ 소개
(원제: Introduction to Ghidra Malware Analysis)
◦ 발표자 : Erika Noerenberg (Carbon Black)
◦ 발표내용
- Ghidra는 美 국가안보국(NSA)의 사이버보안 임무 수행을 위해 연구 담당부서에서 개발한 역어셈블러 프레임워크임
- ’19. 4. 4.경 Github에 모든 운영체제(macOS, Linux, Windows)를 지원하는 소스코드를 공개함
- 분석가들은 필요에 따라 Ghidra의 기능 확장 및 협력 가능함
|
<Ghidra의 주요 기능> |
||
|
‣ 다양한 운영체제에서 컴파일된 코드를 분석하는 소프트웨어 ‣ 디스어셈블리, 어셈블리, 디컴파일, 그래프, 스크립팅 등 분석기능 제공 ‣ 사용자 대화형 또는 자동 모드로, 다양한 실행파일 포맷 분석 가능 ‣ 분석가들은 Ghidra 플러그인 구성에서 필요한 API를 추가 가능 |
◦ 시사점 : 상용 툴인 IDA Pro와 교차분석 등으로 활용 가능
◦ 실습내용
- Ghidra를 이용해 ‘WannaCry’ 랜섬웨어의 킬스위치를 찾고, 악성코드를 언팩킹(Unpacking)하는 실습 진행
- Ghidra 다운로드 주소 : http://ghidra-sre.org (9.0.2 패치)
반응형
'Digital Forensics' 카테고리의 다른 글
| DFRWS USA 2019 - HTC Vive*를 이용한 몰입형 가상현실 메모리 포렌식 (0) | 2019.10.17 |
|---|---|
| DFRWS USA 2019 - PTE 검사를 통한 코드인젝션 탐지 (0) | 2019.10.17 |
| DFRWS USA 2019 - 로우 레벨 메모리 추출 (0) | 2019.10.17 |
| DFRWS USA 2019 - 디지털포렌식 Triage 도구 ‘KAPE’ (2) | 2019.10.17 |
| DFRWS USA 2019 - 증기이용 칩오프 기법 (0) | 2019.10.17 |
