네트워크 포렌식 강의 메모정리

DFIR

2020-06-03 11:11:07

[네트워크 포렌식] 3주차

PE static infomation

Constant values

, 복호화 함수들(이미 알려져있는 복호화알고리즘인지, 커스텀으로 만든 함수인지 식별이 필요)

Base64같은 경우 쉽다.

LSH : Locality Sensitive Hash, 청킹? 바이너리가 만약 250키로바이트, 짧은 해쉬길이에 표현하려면 ..

• 바이러스토탈에도 적용이 되어 있다.

TLSH가 많이 쓰임

, 수학적인 것..

연구주제(수학자, 백신)

• 백신 유사도 검색엔진 만들 때 좋음, 인텔리전스하기 좋음
• 악성코드 안에있는 pe파일을 뜯어보면 특징적인 문자열을 찾아내야 함, 특징없는 문자열도 알아야 함
• 오픈소스 라이브러리 문자열을 썻을 경우, ssl 라이브러리를 사용했을 경우 사용되는 문자열, rsa, des등등 ,, 의미 없는 것, 그 라이브러리를 썻기 때문에 생성되는 문자열은 지워야 할 것
• Registry 주소,
• 문자열 거리 계산 알고리즘?
• 문자열들을 이어붙이는 것,