'malware'에 해당되는 글 3건

  1. 2011.01.13 악성코드 분석을 위한 스크립트 만들기!! #1 1
  2. 2010.03.21 악성코드 수집
  3. 2010.01.06 RussKill

악성코드 분석을 위한 스크립트 만들기!! #1

Malware Analysis 2011. 1. 13. 18:34 |

작성 순서

1. 개요 공격 시나리오

2. 동적 악성코드 분석

3. 악성코드 유포지 추적을 위한 정보수집 단계 #1

4. 악성코드 유포지 추적을 위한 정보수집 단계 #2

5. 공개툴을 통한 스크립트 제작

6. 완성된 스크립트를 통한 악성코드 분석 및 유포지 추적


도메인 만료기간이 다 되어가는데 도루묵은 신세한탄만 하고 있고, 저도 다른 일 해보겠다고 이직하는 바람에 이것저것 정신없다는 핑계로 안들어온지 꽤 되었네요; 다녀가신 분들은 좀 있는 것 같은데 코멘트는 없고, 가끔 물어보는 메일만 날라오네요


신년도 되었고 시간의 여유가 있을 때 마다 글을 조금 써보려고 합니다.(이건 작년에도 마음먹었던 일인데 말이죠;)


음.. 이렇게 시작하죠

DDoS가 발생했습니다. 공격이 발생했으면

첫째, DDoS 공격을 수행한 공격자가 존재하고

둘째, DDoS 공격을 받은 대상자가 존재하고(사이트 담당자 어쩔..ㅠ)

셋째, 공격을 차단하기 위해 즉각적인 분석을 수행할 CERT팀이 존재하고

넷째, 해당 바이러스의 패턴을 백신 엔진에 올리실 분들이 존재합니다.


네트워크 모니터링 장비(IPS/IDS, A사의 Peak어쩌구, N사의 DD어쩌구등등) 통해 DDoS 공격확인시 대상 사이트 담당자는 급당황을 하거나 내부적인 프로세스에 의해 DDoS 방어 업무 프로세스를 수행하고 상위 업체인 ISP에서는 Dst IP 트래픽을 우회하거나 null0 routing 수행하는 등의 활동을 수행합니다.

또한 ISP 보안관제 Cert팀에서는 해당 공격의 Src IP 조사하여 가입자와의 통화를 시도하게 되죠. "해당 PC 악성코드가 감염이 같다. 분석에 협조해달라" 협조에 의한 가입자의 PC 원격분석 시도하고 C&C Domain이나 IP 있으면, KISA등의 상급기관에 보고하거나 내부적으로 차단을 수행하게 됩니다.


여기서 모든 것들이 바로바로 이루어져야 하지만, C&C Domain이나 IP등을 찾기 위해 원격분석에 걸리는 시간은 여러가지 주변요인에 의해 시간이 많이 지체되곤 합니다(여러가지 주변 요인 : 컨텍한 가입자의 PC 엄청난양의 트래픽을 발생시키고 있거나 PC성능에 따른 latency, 가입자의 분석요청 거절, 분석자의 기술력 ) 또한, 무한의 시간을 가지고 좀비PC 원격으로 분석할 있는 것도 아니죠…. 컨텍한 사람이 "아놔 스타해야함" or "밖에 나가야함" 시간은 한정되어 있습니다.


위에서 잠깐 언급하였지만 C&C 통해서 이루어지는 공격이라면 ISP단에서 C&C IP 차단하거나 Domain 차단하는 방법이 "그나마" 빠른 DDoS 대응이라고 있겠습니다. 악성코드가 퍼진건 어쩔 없는 부분이지만 당장 공격은 안일어나게 있으니까요;

또한 분석시간도 좀비PC 원격으로 붙어서 netstat 명령어랑 wireshark 트래픽 보고 iceSword 프로세스 보면 악성코드 추출과 C&C 확인은 설치시간 빼고 5분도 안걸리죠.. 찾은거 바로 차단하면 됩니다. ~ 빠르죠

하지만 '09 7 7일에도 그랬듯이  C&C가 없는 공격이거나… '10 2분기부터 달리기 시작했던 다음의 DDoS 시나리오의 공격은 ISP에서의 차단을 우회하게 됩니다.


* C&C 차단이 애매한(?) 공격 시나리오

사용자 삽입 이미지


Attacker가 웹디스크나 p2p Self-Extract(이하 SFX) 기능으로 동영상과 악성코드를 묶어 exe파일 형태로 업로드합니다.

요즘에 저작권이다 뭐다 해서 exe파일로 압축파일을 올리는 경우가 많이 있습니다.(성인물로 배포되는 형태가 많습니다) malware.exe, 동영상.avi파일 두개에 대해서 SFX압축을 한다고 가정시 옵션에서 더블클릭이라는 마우스 이벤트가 일어남과 동시에 malware.exe 실행되도록 조정을 해놓습니다.

당연히 디자인된 malware.exe 압축이 풀리고 실행되더라도 사용자의 눈에서 안보이도록 바로 삭제되도록 디자인되어 사용자는 해당 SFX압축을 해제하였을 경우 동영상.avi 보게 됩니다.

또한, 사람을 속여서 해당 파일을 다운받도록 해야하는데 해당 파일을 선택하여도 다음과 같이 파일이름을 길게 하면 끝의 확장자가 안보이는 경우도 많고, 아예 폴더로 올려서 "목록보기" 클릭해야만 파일 내역들을 확인할 있게도 합니다.

사용자 삽입 이미지

 

우선 사용자들은 해당 파일을 다운로드 경우 " 이거 확장자가 exe" 하면서 마우스 클릭해서 내부에 파일이 뭐가 있지 확인하는 사람이 몇이나 있을까요? 믿고서 압축을 해제하거나… 조금 이상하다 싶지만 받은 포인트가 아까워서 실행하게 됩니다.

Victim들이 해당 파일을 다운로드하여 클릭하는 순간 압축이 풀리게 되며 SFX 옵션에서 연결된 악성코드가 자동 실행되고 삭제되어 정상적으로 동영상 파일만 남는 것처럼 보여줍니다.



③ 악성코드에 감염된 Victim들이 Attacker C&C 서버 Domain DNS 서버에 질의하게 되며 5분간은 Local 설정된 DNS Server(자신이 사용하고 있는 ISP DNS서버등)으로 질의하게 되며, 결과값에 상관없이 국내,해외 DNS 서버군으로 질의를 하게됩니다.

해외 DNS Server에게 C&C Domain을 질의하게 해놓았으니… 국내 ISP에서 차단해봐야 다른 곳으로 질의하기 때문에 C&C 차단효과를 없습니다.

또한 분석자들을 낚는 효과(?) 얻는데 wireshark등을 통해 DNS 질의하는 것을 도메인과 IP 보지 어떤 DNS Server 질의하는지 확인하지 않는 경우가 많지요;



④ 감염된 Victim Group들이 DNS 서버로 질의했을 받은 IP 접속을 시도합니다. 그러나 Attacker 차단을 우회하기 위해 해외의 DDNS 서비스를 사용합니다. C&C 서버가 구동전에는 DDNS 서비스 업체에 따라 평상시에는 192.168.0.1 response하거나 IP Addr 값을 주지 않다가 Attacker DDNS 서비스에 로그인하여 구동하면 실제 IP 변경되어 접속하게 됩니다.

그러면 여기서 "그럼 C&C Domain 막지말고 IP 막으면 되겠네요"라고 있지만, C&C IP 순간순간 바뀌어 구동되며, Tor Proxy 같은 툴들을 통해서 자신의 아이피가 아닌 다른 아이피로 계속 변경이 가능하여 이것도 확실한 답은 아닐 있습니다.



이제 Attacker는 자신의 C&C서버를 통해 명령을 내리게 됩니다. 이때 Victim Group이 공격할 Target서버를 지정할 있으며, Victim들의 접속하는 C&C 서버를 변경하기 위해 다른 C&C 서버 Domain 내포하는 악성코드를 다운로드하는 지령을 전달할 수 있습니다



⑥ 악성코드에 감염되어 형성된 Zombie군들이 Attacker 전달한 Target 서버로 DDoS 공격을 수행합니다. 이때 공격 유형은 공격자가 원하는대로 Open Tear, UDP Flooding , ICMP Tear Drop 다양한 패턴으로 공격을 수행할 있습니다.


위의 경우처럼 공격을 하는 경우 Cert팀에서 분석을 수행하더라도 난감합니다 C&C 계속 변하고 차단할 없으니 이를 어쩐다…

백신 업체에서 시그니처 업데이트 한다 하여도 모든 좀비PC들에 백신이 설치되어있지 않은 이상 DDoS 계속 발생되겠죠.

그래서 생각한 것이 유포지를 추적해서 공격을 수행한 사람에 최대한 가깝게 다가가서 공권력 있는 기관에 신고하면 어케든 되겠지 했는데…;; 이것도 신고했는데 몇달간 계속 DDoS 엄청난 트래픽으로 발생되고 분석만 해보면 같은건이고;; ISP들은 다들 난리고.. 그랬던 경험이 있습니다. '09 7.7 DDoS 대란도 '09 7 5 해외쪽 공격했던 사실이 있어 6일날 보고했다가 "우리쪽 아니니까 문제 없자나" 소리도 들었었죠;; (..그래서 퇴사한건 아니에요 )


따라서 이번 블로그의 ""글은 정상적인 PC 좀비PC 밖에 없었던 이유.. , 어디서 악성코드를 다운받았고 어떤식으로 전파되어 PC 감염되었는지 등에 대해 수집해야할 정보들과 정보를 추출하는 방법.. 최종적으로는 원격지에서 스크립트를 실행하여 수집된 로그를 바탕으로 분석하는 내용에 대해서 논하고자 합니다.


도움이 되지 않을 있지만 저만의 노하우니까~ 가볍게 정보라도 가져가실 있다면 좋겠습니다.

'Malware Analysis' 카테고리의 다른 글

악성코드 수집  (0) 2010.03.21
RussKill  (0) 2010.01.06
Posted by 궁상박군
:

악성코드 수집

Malware Analysis 2010. 3. 21. 01:21 |

가끔 악성코드가 분석하고 싶을 때(-_-?) 자발적으로 인터넷을 다닐때가 있는데
저 같은 경우는 malwareurl이나 malwaredomainlist 같은 곳에서 찾는 경우가 있습니다.

사용자 삽입 이미지

위의 그림은 malwareulr.com에서 확인할 수 있는 내용으로 domain, ip등에 대한 정보를 갖고 있습니다.
Domain만 가지고는 악성코드의 URL을 파악하는데 문제가 있으므로 맨 우측에 보이는 Details정보를 눌렀을 경우
다음 아래의 그림처럼 자세한 정보 파악이 가능합니다.
사용자 삽입 이미지

Details 정보에서는 위처럼 URL경로외에도 Redirections, VirusTotal, Anubis, ThreatExpert 검사등에 대한 추가적인 정보와, google이나 MalwareDomainList등의 Blacklist정보, Whois정보등을 제공합니다.

또한 맨 하단은 다음과 같이 해당 Domain이나 IP에 대한 과거 신고접수된 내역을 보여줍니다.
사용자 삽입 이미지

(# 위 그림은 62.212.66.91에 대한 과거 신고이력입니다)


하지만 위의 두개의 도메인외에도 악성코드를 유포하는 경로를 가지고 있는 사이트는 하루에도
수백건의 업데이트가 있기 떄문에 어떤걸 받아서 해볼까 고민할 때도 있고
샘플 수집을 위해 모조리 다운받으려 할 경우도 유포 사이트의 수도 많고 업데이트도 빈번히-제가 확인했을 때는 매일이었는데 아닐수도 있으니-일어나기 때문에 언제다 일일이 클릭해서 다운받나 싶더군요

이럴때 쓰라고 하는 건가요? malwareurl.com은 신고접수된 악성코드 유포경로에 대해서 CSV형식으로 Export해서 사용자에게 떨궈주는 기능이 있습니다.
그런데 언제부터인지 모르겠지만 export하는 하이퍼링크를 클릭하면 별도의 과정없이 다운 가능했었는데 다운받기 위해서는 사용자 등록을 해야하고 등록한 메일로 키값을 포함한 URL을 메일로 보내주더군요

여하튼 다음 그림처럼 malwareurl.com의 메인화면에서 Register and Export data를 선택 후 등록하시면 접근 경로를 메일로 보내줍니다.

사용자 삽입 이미지

위에서 등록하시고 조금 기다리시면 다음 그림처럼 메일이 옵니다
사용자 삽입 이미지

해당 경로로 접근하면 CSV파일을 다운로드하게 되며 파일을 열어보시면 다음과 같은 화면을 볼 수 있습니다.
사용자 삽입 이미지

첫번째 열부터 URLs, Ip address, Reverse Lookup, ASN, Brief description, Domain registrant Date입니다.
(재미있는거는 예전에는 맨위의 행에 컬럼명이 같이 나왔는데 언제부터인가 빠져서 그냥 정보만 나오다러구요)

여하튼 저렇게 목록을 다운받게 했으니 이제 자동으로 접근해서 파일을 다운받도록 스크립트를 만들어야겠죠

스크립트에 대한 설명은 따로 설명안드려도 되겠죠? -ㅅ-;
궁금하시면 메일로 주세요 psj020@gmail.com

참고로 아래것을 그대로 쓰시려면 아래의 파일 클릭하시면 됩니다.(물론 키값 부분은 삭제했습니다. 그 부분은 등록하신 후 메일로 오신 부분으로 교체 하시면 됩니다)

malwareurl.pl


위 스크립트는 windows에서 사용하려고 만들었으며, UnxUtils, logparser, perl만 깔려있으면 정상적으로 실행되실꺼에요;
위의 파일은 제가 3월 19일자에 대한 파일만 뽑아낸거구요;
매일매일 돌리고 싶다 하신 분들은 batch파일등으로 어제 날짜 구하는 파일 만들어서 2010-03-19 대신에 입력해주시면 됩니다.
또한 logparser로 쿼리 하는 부분에 위의 그림에서 짤렸지만 LIKE %.exe하는 부분이 있는데 이 부분은 사용하시는 분 입맛대로 descriptiong에서 exploit을 하시든지, FAKE AV를 하시든지 설정하시면 됩니다.

아래는 생성된 파일 및 다운로드 된 파일입니다. 저는 이력관리때문에 csv파일을 여러개 생성하였지만 수집용도로만 쓰려면 별 필요없으니 삭제하는 구문을 추가하시는 것도 ㅎㅎ



아...역시 뻘글인가요? -_-
그냥 가끔 아... 이런게 필요하구나 하신분들한테 도움이 되셨으면 좋겠습니다.

'Malware Analysis' 카테고리의 다른 글

악성코드 분석을 위한 스크립트 만들기!! #1  (1) 2011.01.13
RussKill  (0) 2010.01.06
Posted by 궁상박군
:

RussKill

Malware Analysis 2010. 1. 6. 05:55 |
 
   1.개요

  악성코드를 분석할 때는 항상 해커들의 입장에서 분석하려고 노력한다. 따라서 서비스 공격이나, 서비스거부공격, 웹해킹등을 간단하게 할 수 있는 방법이 없을까? 혹은 많은 사용자들에게 감염시킬 수 있는 방법이 없을까에 대해서 항상 질문하고 방법을 찾는데, 이번에 분석한 악성코드 역시 그러한 생각 때문에 찾은 악성코드이며, 12 17 Opensive Computing RussKill. Application to perform denial of service attacks 라고 소개되었으며, 아직 국내 사이트에서 다룬적이 없는 악성코드이다. -어려운 것도 아니고 그냥 보통의 악성코드와 비슷하다- 따라서 탐지명을 RussKill로 가정하고 진행한다.

 

  
2.RussKill이란.
 
  RussKill DoS(혹은 DDoS) 발생시킬 있는 툴로서 기능들이 Opensive Computing에서 소개하듯이 Extremely 정도로 간편화 되어 사용할 있으며, C&C서버도 자동으로 구성하여 타겟을 지속적으로 바꿀 있다(실질적으로 분석하는 도중에도 여러 도메인으로 계속 바뀌었다).

 또한, RussKill HTTP-Flooding, SYN-Flooding 공격을 수행할 있으며, 공격자가 서버에서 시간당 발생패킷을 지정하여 PPS 조절할 있다. 모든 과정이 모두 마우스 클릭으로 바로바로 이루어진다.

 

  3. 공격 시나리오

사용자 삽입 이미지

Attacker RussKill을 웹서버에 구동한다.(이 과정에서 악성코드과 Target Server가 설정된다)

Victim들이 악성코드를 다운로드한다. (본 공격의 효율성을 위해서는 상관없는 여러 사이트들에

   감염시키는 것이 좋으나, 현재는 모두 한곳에서만 다운로드 한다.)

③ 악성코드에 감염된 사용자가 C&C서버로 접속한다. 여기서 C&C Web서버의 php페이지이다.

④ 감염된 Victim Group들이 설정된 C&C서버에서 전달받은 서버로 공격을 수행한다.

Victim Group들은 지속적으로 C&C서버로(설정값에 따라 시간변동) 접근하여 변경내용을 확인한다.

Attacker Victim의 개수를 파악하고 공격의 중지 혹은 Target Server를 변경할 수 있다.


4. 악성코드 분석

  실제적으로 google 통해서 찾은 악성코드는 www.kimosimotuma.cn/999/wihpg.exe 지만, malwareurl.com이나 malwaredomainlist.com 통해 찾은 Russkill관련 도메인은 다음과 같다.

사용자 삽입 이미지

[그림1] malwaredomainlist.com에서 신고된 domain

 

  Kimosimotuma.cn atatata.org, glousc.com 3개의 도메인 모두 중국 IP이며, atatata.org glosc.com IP 115.100.250.107이었으며, kimosimotuma.cn 115.100.250.104 마지막 IP 다른걸 봐서는 공격자가 같을 것이라고 추측할 있다.(이를 증명하는 것은 뒤에도 나오므로 차후에 설명하기로 한다)

 

1)     www.glousc.com/hellotobad/hellotobad.exe 다운로드

 

사용자 삽입 이미지

[그림2] 악성코드 다운로드

 

 

2)     바이로봇 탐지내역 확인

 

사용자 삽입 이미지

[그림3] 바이로봇 탐지결과

 

  바이로봇뿐만 아니라 virustotal.com에서 돌렸을 경우 대부분의 백신에서 탐지를 하지만, 수많은 악성코드의 변종으로 검사된다.

그중에서 Microsoft, AntiVir, eTrust-Vet 경우 Ruskill 탐지한다.(발빠르게 대처한건가?)

 

3)     Wireshark 구동 악성코드 수행

사용자 삽입 이미지

[그림4] 패킷 확인 결과

Glousc.com에서 받은 hellotobad.exe glousc.com/hellotobad/r.php 접속 다른 도메인으로 SYN 패킷을 발생시켰으며, kimosimotuma.cn에서 받은 wihpg.exe kimosimotuma.cn
/999/r.php 접속 다른 도메인으로 SYN패킷을 발생시켰다. 또한, 두개의 악성코드 모두 서비스에 등록하여 재부팅시 두개 모두 kimosimotuma.cn/999/r.php 접속하여 Target Server 가져오는 것을 확인하여 공격자가 동일한 것으로 가정할 있다.

  r.php Follow TCP Stream으로 확인한 결과 다음과 같았으며 r.php 접속하여도 같은 결과를 있다.

사용자 삽입 이미지

[그림5] Follow TCP Stream


사용자 삽입 이미지

[그림6] glousc.com/hellotobad/r.php

사용자 삽입 이미지

[그림7] atatata.org/888/r.php

사용자 삽입 이미지

[그림8] kimosimoutma.cn/999/r.php

그림6,7,8에서 확인하였듯이 각각의 서버마다 지정해놓은 Target Server 달랐으며, 실질적으로 분석을 수행할 가끔씩 Target 바뀌었으며 그때마다 r.php 바뀌어 있었다. 또한, r.php로만 주기적으로 접근을 시도할뿐 Target Server 패킷을 잠시 안보낼 경우도 있는데, 경우 역시 공격자가 임의적으로 Stop 걸어놓았다고 가정할 있다.

SYN Packet 발생시키는 것도 분석할 때마다 초당 많게는 5,000 적게는 100 PPS정도 발생되었다. 역시 공격자가 임의적으로 조작한 것으로 추정된다.                                       

사용자 삽입 이미지
                                                      [그림9] SYN Packet 발생

 

4)     Reversing

사용자 삽입 이미지
                                                [그림10] ASPack 2.12 Packing

 

해당 코드는 ASPack 의해 Packing되어 있어서 자세한 구조를 확인하기 어려워 Unpacking 수행하여 해당 코드를 살펴보았다. 

사용자 삽입 이미지
                                      [그림11] c:\windows\system32\winsrir.exe 생성 부분 

해당 악성코드는 두개 모두 c:\windows\system32\winsrir.exe 생성하였으며, 외에는 파일 생성 하는 과정이 없었다.

사용자 삽입 이미지
                                                [그림12] 레지스트리 수정 부분

 

위의 함수에서 실질적으로 레지스트리를 수정 키값을 생성하며 목록은 다음과 같다

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSRIR

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSRIR\0000

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSRIR\0000\Control

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir\Security

       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir\Enum

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSRIR

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSRIR\0000

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSRIR\0000\Control

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsrir

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsrir\Security

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsrir\Enum

위의 목록중 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsrir에서 윈도우 서비스에 등록된다.

사용자 삽입 이미지
                                        [그림13] 서비스 등록 부분

 

위의 레지스트리 편집기에서 DisplayName 부분이 한문으로 깨져서 나오지만 실질적으로 등록된 서비스를 확인해보면 Services Windows Controller 동록 된다.

사용자 삽입 이미지

[그림14] 서비스 등록



5. RussKill 정보

  Russkill이라는게 소개된지도 얼마되지 않았기 때문에 관련된 정보가 많지 않다. 실제적으로 http://planety-hackeram.ru 라는 러시아 해킹툴 다운로드사이트에서 관련된 자료를 다운로드할 있는것으로 파악되는데 사이트를 번역해가면서 가입해본 결과 wmz(webmoney) 요구한다.

Opensive computing이나 최초발견자들의 개괄적인 분석내용을 살펴보면 다음과 같은 그림들을 확인할 있는데 여기서 개괄적인 정보를 유추할 있다. Online이란 현재 r.php 접속해서 받아가는 Victim 수이며, URL Target-server, 초당 packet 발생 , 공격의 중지 혹은 target server 변경등이 가능한 것으로 보인다.

사용자 삽입 이미지

[그림15] Russkill 정보#1

사용자 삽입 이미지

[그림16] Russkill 정보#2

 

공격에 대한 셋팅이 이루어지므로, 웹서버 어떤 페이지는 로그인하는 화면이 있을 것으로 생각하고 blind 페이지를 요청해보았으며 다음과 같은 로그인 창을 찾을 있었다.

사용자 삽입 이미지

[그림17] Russkill 로그인 창

 

(Brute Force의 욕구가 잔뜩)  

 

기존에 해외에서 신고된 도메인의 URI 기본적으로 /연속된숫자3자리/r.php 이다. 물론, 공격이 여러건 나온 것이 아니니 Russkill default 설치하면 저렇게 것이다 가정하였을 경우 패턴의 입력이 가능하다. 하지만 snort 경우 /\[0-9]{3}\/[Rr]\.[Pp][Hh][Pp] 같은 형식으로 정규식 써서 등록이 가능하지만 Sniper는 정규식이 안먹으니 패스~

### r.php로 접속했을때 target server 주소 앞에 숫자|숫자|숫자|숫자 되어 있는 부분에 따라서
공격의 수행여부(혹은 중단) 패킷의 발생빈도 이런걸 나타내는데 2,4번째 필드부분을 아직 못찾아서;
또 삽질을 해야하나;;


'Malware Analysis' 카테고리의 다른 글

악성코드 분석을 위한 스크립트 만들기!! #1  (1) 2011.01.13
악성코드 수집  (0) 2010.03.21
Posted by 궁상박군
:

티스토리툴바