jjun2e

peid, exeinfo 툴에서 제공하는 packer signature 이다. 

yara로 탐지하기 위해 변환을 해준다.

# signature format 

[exepack]
signature = 60 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? FF 10
ep_only = true
original = "ExE Pack" {V1.0} -> 'Elite Coding Group'

format은 편한데로 지정하면 된다

정규표현식으로 파싱을 했으므로 format에 맞춰 변경하면된다.

Windows 이벤트 기반 동적분석용 이벤트 탐지

악성코드 분석용 한번에 여러 이벤트를 모니터링 목적으로 제작

# configure.conf

# Registry

 - configure.conf 파일을 load후 레지스트리의 원본과 새로운 레지스트리 값을 배열에 담아 중복비교

# Socket

  - 원본과 새로운값을 배열에 담아 중복비교

# File

  - watchdog 모듈을 이용해 확장자 패턴매칭 후 실시간 파일 생성, 삭제를 탐지