티스토리 뷰
12. 백신 커널 개발하기
플러그인 엔진의 로딩 우선순위 정하기
백신 커널은 실행과 동시에 플러그인 엔진을 메모리에 로딩해서 악성코드 검사가 가능하게 해야한다.
가장 빠르게 악성코드를 검사할 수 있는 플러그인 엔진을 통해 먼저 악성코드를 처리하는 것이 유리하다. 악성코드가 존재하지 않는다면 상관없지만 악성코드가 존재하는 경우 빠른 검색법을 먼저 사용하면 더 빨리 검사를 끝낼 수가 있다. 그래서 플러그인 엔진 로딩 우선순위가 적혀있는 파일이 필요하다. 중요하기 때문에 이 것은 암호화 시켜서 저장한다.
전체 플러그인 엔진의 인스턴스 생성하기
전체 플러그인 엔진 초기화/종료
전체 플러그인 엔진으로부터 진단/치료 가능한 악성코드 목록 획득하기
이 부분은 다른 함수들과는 달리 콜백 함수를 인자 값으로 가진다. 이는 수백 개의 분석 패턴이 추가되면 하나의 변수에 저장시키는 것은 힘들기 때문이다.
전체 플러그인 엔진에 악성코드 검사 요청하기
특정 플러그인 엔진에게 악성코드 치료 요청하기
13. 백신 콘솔 프로그램 개발하기
백신 커널 준비하기
전체 플러그인 엔진의 버전 정보 출력하기
진단/치료 가능한 악성코드 개수 출력하기
백신의 옵션을 백신 커널에 전달하기
기존 scan 함수 변경하기
전체 폴더를 검사할 수 있도록 scan 함수 새롭게 만들기
scan 콜백 함수 만들기
악성코드 검사하기
14. 암축 파일? 임베딩 파일?
15. ZIP 파일 처리하기
16. 플러그인 백신 엔진 구조 보강하기
다양한 플러그인 엔진이 각자의 일에 충실함으로 인해 발생하는 문제
압축 파일 내부의 악성코드를 검사하기 위한 백신 커널 동작 방법
format 함수
arclist 함수
unarc함수
zip 플러그인 엔진 마무리하기
17. 백신 커널 보강하기
파일 정보 클래스에 들어갈 내용
18. 압축 파일 내부의 악성코드 치료 방법 고민하기
mkarc 함수
scan 함수의 수정
악성코드 치료
disinfect 콜백 함수
update_info 의 처리
update 콜백 함수
19. 스크립트 파일 포맷 추가하기
정규표현식
텍스트 파일 확인 여부 방법
HTML 파일 여부
HTML 파일은 압축 파일인가?
스크립트 파일인지 확인하기
스크립트 파일 내부의 스크립트 추출하기
사용자 입장에서의 압축 해제 엔진 정의하기
백신 커널 수정하기
PE 파일이란
20. PE 파일 포맷 추가하기
PE 파일의 구조
PE 파일의 주요 정보
PE 파일의 메모리 매핑 관계
Entry Point 계산 방법
pe 플러그인 엔진
첨부 파일이란
첨부 파일의 위치 및 크기 계산
attach 플러그인 엔진
OLE 파일이란
21. OLE 파일 포맷 추가하기
olefile 파이썬 외부 모듈
MS 오피스의 매크로 기능
oletools 파이썬 외부 모듈
PDF 파일의 구조
22. PDF 파일 포맷 추가하기
Stream을 가진 Object 추출을 위한 정규표현식
23. ALZ 파일 포맷 추가하기
ALZ 파일 구조
AlzFile 클래스
AlzFile 클래스의 내부 멤버 함수
alz 플러그인 엔진
실행 압축 프로그램이란
24. UPX 파일 포맷 추가하기
살행 압축 해제 방법
25. 스크립트 악성코드 진단/치료하기
주석문
주석문의 종류
주석문의 제거
공백 문자 제거
영어 대/소문자 제거
악성코드 패턴 생성기
백신 콘솔 프로그램의 sigtool옵션
악성코드 검사 대상의 정형화 작업
악성코드 패턴 DB 최종 생성기
PatternMD5 클래스 특정 유형에 크기가 등록되었는지 체크하기
PatternMD5 클래스 md5 해시값 찾기
PatternMD5 클래스 악성코드 패턴 로딩하기
PatternMD5 클래스 메모리 관리하기
26. 윈도우 악성코드 진단/치료하기
ClamAV
윈도우 악성코드 패턴 생성
emalware 플러그인 엔진 개발
emalware 악성코드 패턴 생성
최신 악성코드 패턴 숫자
최신 백신 업데이트 날짜
매크로 소스코드 추출
27. MS 오피스 악성코드 진단/치료하기
매크로 주석문 및 공백 문자 제거
변종 악성코드의 등장
아호 코라식 검사
아호 코라식 알고리즘을 이용한 변종 악성코드 검사
한글 파일 포맷 문서
28. 한글 취약점 진단/치료하기
한글 취약점 점검 도구 : HwpScan2
HWP 5.0 파일 포맷의 주요 구조
백신 커널의 수정
hwp 플러그인 엔진 : scan 함수
hwp 플러그인 엔진 : getinfo 함수
29. 설치 파일 만들기
배포본 만들기
배포본 테스트 하기
NSIS, HM NIS Edit 다운로드 및 설치하기
백신 설치 프로그램 만들기
백신 업데이트 서버에 최신 백신 업로드하기
30. 백신 업데이트하기
update.cfg 파일 생성하기
업데이트 옵션 추가
'악성코드' 카테고리의 다른 글
| DDE 취약점을 이용한 악성코드 (0) | 2018.03.15 |
|---|
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- IRP
- PNP 드라이버
- vmware cannot connect to the virtual machine
- BP
- 레거시 드라이버
- 디바이스
- gdb intel 변환
- vmware 오류
- 변환
- module
- 드라이버
- gdb 명령어
- backdoor
- gdb intel
- 모듈
- LKM
- 루트킷
- 리눅스 모듈
- Intel
- GDB
- rootkit
- gdb명령어
- breakpoint
- VMware
- 백도어
- DriverEntry
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함