2015. 2. 23. 15:18, 아리스리생각
https://www.mandiant.com/blog/tracking-malware-import-hashing/
imhash라고도 하는데 IAT의 API를 활용하여 hash값을 메타 데이터로 제공한다.
virustotal metadata :
하지만 정적으로 IAT의 API를 파싱해서 뽑으면 이게 과연 얼마나 효율적일지??ㅎ
예전에도 그랬지만 많은 악성코드들이 API를 그냥 사용하지 않고
난독화하여 문자열 그대로를 노출하지 않는다.
링크 본문과 같이 분류 보조용으로 low-cost, efficient and valuable way가 적당한 의미가 아닐까 싶다.
'아리스리생각' 카테고리의 다른 글
코닝사 고릴라 글래스(Gorilla Glass) 균열 (0) | 2016.01.08 |
---|---|
Naming is analysis and research (0) | 2014.01.10 |
Kimsuky APT 악성코드?? 북한발 악성코드라는데.. (0) | 2013.09.13 |
진실 혹은 거짓~ (0) | 2013.01.28 |
악성코드 경유지, 유포지 사이트??? (2) | 2013.01.11 |
Comments, Trackbacks