Project/문서형 악성코드3 한글 악성파일 분석 틀린 부분이 있다면 언제든지 댓글 남겨주세요! 한글 악성파일 분석 -Process Monitor, HWPScan2, SSivew, HxD, Ollydbg > 포스트 스크립트 형식의 악성 한글 파일로 추측되며, eps 영역에 암호화 한 악성 쉘코드를 삽입해 익스플로러를 자식 프로세스로 실행하는 동작을 한다. 1. 행위 분석 해시값: 5d9e5c7b1b71af3c5f058f8521d383dbee88c99ebe8d509ebc8aeb52d4b6267b 악성 한글 파일을 열어 조판 부호를 체크하면 숨겨진 악성 포스트 스크립트를 볼 수 있다. 아주 작아서 잘 안보이지만 [그림] 앞에 작은 점이 있다. 프로세스 모니터 프로그램을 통해 실행 프로세스를 수집하고 트리구조로 확인해보면 한글 파일로 인해 실행된 프로그램들을.. 2020. 12. 1. OLE 구조 -Header 1. Header = 시작위치부터 1 sector (512 byte) ▶ Signature(MagincID): D0 CF 11 E0 A1 B1 1A E1 = HWP문서의 고유 시그니처 ▶ CLSID: 0x08 ~ 0x17 (16byte) ▶ Version(Minor Version, Major Version): 3E 00 03 00 ▶ Byte Order BOM: FE FF * UTF-16 : FF FE=little endian, FE FF=Big endian 여기선 little endian방식으로 쓰여 있으므로 FE FF 읽으면 FF FE 즉 little endian방식 * 엔디안(Endian)은 바이트 배열 방법(Byte Order) ex) 12 34 56 78 리틀 엔디안은 최하위 바이트부터 차례대로.. 2020. 10. 25. HWP 파일 구조 분석 틀린 부분이 있다면 언제든지 댓글 남겨주세요! HWP 파일 구조 분석 [ hwp 구조 및 자료형 ] - hwp 5.x 버전은 OLE구조(Object Linking Embedding=COM structured storage) - OLE =객체 연결 및 삽입을 뜻하며 복합 이진 파일 형식이라고도 함. 하나의 작은 파일시스템과 같은 구조를 가짐. 문서내 객체가 독립적으로 존재하며 호환성이 뛰어남 - 매직넘버 :D0 CF 11 E0 A1 B1 1A E1 - OLE 파일은 섹터(1sector = 512byte)단위로 구성. 데이터 영역은 파일 크기에서 헤더 크기만큼 뺀 바이트로 구성 - OLE 구조 분석 참고 www.hanul93.com/ole-fileformat-basic/ , nurilab.github.io/.. 2020. 9. 27. 이전 1 다음 728x90 반응형
