PE 해석 툴 PPEE(Puppy)의 소개
종래는 pestudio 를 애용하고 있었습니다만, 무상판의 경우 볼 수 있는 기능이 상당히 삭감되어 버렸기 때문에, (라이센스 구입하지 않고 죄송합니다...) Puppy로 이행했습니다.
간단하고 매우 사용하기 쉽고 플러그인을 추가하여 응용 프로그램을 사용할 수 있기 때문에,
초학자부터 숙련자까지 사용할 수 있는 툴이라고 느꼈습니다.
설치
아래 사이트에서 설치하고 배포하여 사용할 수 있습니다.
htps //w w. mzrst. 코m/
화면 구성
exe를 실행하고 파일을 드래그 앤 드롭하여 분석 결과를 표시합니다.
DOSheader(매직 넘버 확인), Rich Header(공격자의 힌트 있을지도)도 볼 수 있고,
그리고 파일내의 String도 내어 주기 때문에, 표층 해석인 어느 정도 통신처가 보이거나 할 가능성도 있습니다. (우가 삼키는 것은 NG이지만)
플러그인 소개
디폴트로 준비되어 있는 편리한 플러그인이 2개 있으므로 소개합니다.
1. 파일 정보
Plugins>Fileinfo에서 사용할 수 있습니다.
편리한 점으로 아래가 있을까 생각합니다.
1) 파일의 해시는 물론 fuzzyhash(SSDEEP, Imphash), 파일의 엔트로피도 표시된다
FuzzyHash에 대해서는 과거 기사를 참조하십시오.
htps : // 코 m/하라페코_냐/있어 ms/57906207c066f7d6d658
2) Virustotal이나 Metadefender의 대조도 실시해 준다
3) 텍스트 내보내기도 가능
2. Yara Plugin
Plugins>YaraPlugin에서 사용할 수 있습니다.
악성 코드 분석을 할 때 Yara는 사용할 기회가 많을 것이라고 생각하기 때문에 플러그인에서 사용할 수있는 것은 매우 고맙습니다 ...!
실제로 샘플 파일로 검증을 실시했습니다.
이번에 작성한 파일에 대해서는 아래의 기사를 참조하고 있습니다.
htps : // 이 m / y 이후 y / ms / 473b6bc9 바아 46738925
검증 내용
1) 검증에 필요한 파일을 작성
· 검증용 텍스트 파일(이미지 아래)
・Yara 스캔용의 Yara 파일(화상상)
2) Yara 스캔 실행
드래그 앤 드롭으로 스캔하려는 파일을 구문 분석하고,
YaraPlugin의 "Yara Rule File"에 Yara 파일을 업로드합니다.
아래와 같이 Yara 규칙에 따라 스캔한 결과가 표시됩니다. 보기 쉽다~~~
Reference
이 문제에 관하여(PE 해석 툴 PPEE(Puppy)의 소개), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/harapeco_nya/items/6ae22d94dd66a04f6b1d
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
exe를 실행하고 파일을 드래그 앤 드롭하여 분석 결과를 표시합니다.
DOSheader(매직 넘버 확인), Rich Header(공격자의 힌트 있을지도)도 볼 수 있고,
그리고 파일내의 String도 내어 주기 때문에, 표층 해석인 어느 정도 통신처가 보이거나 할 가능성도 있습니다. (우가 삼키는 것은 NG이지만)
플러그인 소개
디폴트로 준비되어 있는 편리한 플러그인이 2개 있으므로 소개합니다.
1. 파일 정보
Plugins>Fileinfo에서 사용할 수 있습니다.
편리한 점으로 아래가 있을까 생각합니다.
1) 파일의 해시는 물론 fuzzyhash(SSDEEP, Imphash), 파일의 엔트로피도 표시된다
FuzzyHash에 대해서는 과거 기사를 참조하십시오.
htps : // 코 m/하라페코_냐/있어 ms/57906207c066f7d6d658
2) Virustotal이나 Metadefender의 대조도 실시해 준다
3) 텍스트 내보내기도 가능
2. Yara Plugin
Plugins>YaraPlugin에서 사용할 수 있습니다.
악성 코드 분석을 할 때 Yara는 사용할 기회가 많을 것이라고 생각하기 때문에 플러그인에서 사용할 수있는 것은 매우 고맙습니다 ...!
실제로 샘플 파일로 검증을 실시했습니다.
이번에 작성한 파일에 대해서는 아래의 기사를 참조하고 있습니다.
htps : // 이 m / y 이후 y / ms / 473b6bc9 바아 46738925
검증 내용
1) 검증에 필요한 파일을 작성
· 검증용 텍스트 파일(이미지 아래)
・Yara 스캔용의 Yara 파일(화상상)
2) Yara 스캔 실행
드래그 앤 드롭으로 스캔하려는 파일을 구문 분석하고,
YaraPlugin의 "Yara Rule File"에 Yara 파일을 업로드합니다.
아래와 같이 Yara 규칙에 따라 스캔한 결과가 표시됩니다. 보기 쉽다~~~
Reference
이 문제에 관하여(PE 해석 툴 PPEE(Puppy)의 소개), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/harapeco_nya/items/6ae22d94dd66a04f6b1d
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(PE 해석 툴 PPEE(Puppy)의 소개), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/harapeco_nya/items/6ae22d94dd66a04f6b1d텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)