CreateMutex
까보면 다나와~

import hashing
2015. 2. 23. 15:18,  아리스리생각

https://www.mandiant.com/blog/tracking-malware-import-hashing/


imhash라고도 하는데 IAT의 API를 활용하여 hash값을 메타 데이터로 제공한다.


virustotal metadata :



하지만 정적으로 IAT의 API를 파싱해서 뽑으면 이게 과연 얼마나 효율적일지??ㅎ

예전에도 그랬지만 많은 악성코드들이 API를 그냥 사용하지 않고

난독화하여 문자열 그대로를 노출하지 않는다. 


링크 본문과 같이 분류 보조용으로 low-cost, efficient and valuable way가 적당한 의미가 아닐까 싶다.





저작자표시 비영리 변경금지

'아리스리생각' 카테고리의 다른 글

코닝사 고릴라 글래스(Gorilla Glass) 균열  (0) 2016.01.08
Naming is analysis and research  (0) 2014.01.10
Kimsuky APT 악성코드?? 북한발 악성코드라는데..  (0) 2013.09.13
진실 혹은 거짓~  (0) 2013.01.28
악성코드 경유지, 유포지 사이트???  (2) 2013.01.11
  Comments,     Trackbacks
카테고리
최근 작성 글
최근 작성 댓글
최근 작성 트랙백
공지사항
링크
글 보관함
캘린더
«   2024/04   »
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
태그
koobfaceida cfgMUICachehtml colorNtMapViewOfSectionWinDbg33ddosvsphereRemote Desktop Packetxref북위례ida.cfgwintmp.datMS WBT SERVERsetupball.bmpCVE-2010-3962printSepsSYSTEM_INFORMATION_CLASSIDA77ddosiocontrolcodeRDT예치금winurl.datinvalid flag referencedispatchversion.datSystemInformationClassbreadkpointahnurl.sys
TODAY TOTAL
아리스리's Blog : Powered by and Designed by Lawlite

티스토리툴바