Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- 오래된 지혜
- 국제 사이버 범죄
- Fileless
- L:azarus
- CISO 제도 분석
- 블랙바스타
- 디지털 증거의 증거능력
- 사이버안보
- 악성코드
- 악성코드 분석
- 오픈체인
- Black Basta
- 릭 릭스비
- 판례평석
- MALWARE
- 랜섬웨어 분석
- 오픈소스 관리체계
- 보안사고 회고
- 러시아
- 분석
- 우크라이나
- 사이버안보 협약
- 부다페스트 협약
- x64dbg
- Malware Tool
- 악성코드분석
- 독서
- VirtualAddress
- CAN Network
- 랜섬웨어
Archives
- Today
- Total
봔하는 수달
x64dbg CreateThread( ) 추적 분석 본문
여러 악성코드를 분석하게되면 네트워크 또는 암호화 루틴에서 좀 더 빠른 기능을 위해 스레드를 생성하는 경우가 많다.
스레드란 프로세스 내에서 실제로 작업을 수행하는 주체이며 모든 프로세스는 한 개 이상의 스레드가 존재하며, 작업하는 스레드가 여러개인것을 멀티 스레드라고 칭한다.
디버깅을 하다보면 하나의 프로세스에 대해서 추적 분석을 진행하게 되지만 동작중에 여러갈래로 스레드가 나뉘게 되면 추적하기가 어렵게된다. 이러한 상황에서 x64dbg의 설정을 한개 만져주게 되면 해당 스레드의 동작과정을 추적 가능하게된다.
x64 dbg에서는 여러 이벤트를 탐지가능하지만 이를 중단시키는 기능은 기본적으로 시스템의 Entry Point등을 제외하고는 옵션이 꺼져있다.
간단하게 스레드 진입점 버튼을 체크하여 활성화해주게 되면 행위분석을 이어갈 수 있다.
'정보보안 > 기술' 카테고리의 다른 글
| Dump Code IAT Recovery (0) | 2023.01.05 |
|---|
'정보보안/기술' Related Articles
more
Comments