KimSangLab

 1) Host-Only : 호스트와 VM간 공유가 가능한 사설 LAN을 생성하며 VM은 외부 시스템과 통신하지 못한다.
 2) NAT/공유 : VM은 외부 접속이 허용되지만 호스트 IP 에서 연결한것으로 인식된다. 호스트에서 포트 포워딩을 설정하지 않는 경우 외부에서 VM으로 접근이 불가능하다.
 3) 브릿지 모드 : VM이 호스트의 물리적 이더넷 어댑터를 공유하고 개별적인 IP와 MAC을 가진다. VM이 호스트와 동일한 로컬 서브넷으로 나타난다.

dex 파일을 jar 파일로 변환해주는 툴이다.
dex 파일이란 달빅이 인식할수 있도록 class 파일을 바이트 코드로 변환한 것이다.
다운 로드는 아래 링크를 참조한다.

https://sourceforge.net/projects/dex2jar/

  Cain & Abel 은 동일 네트워크에서 다른 사용자들이 네트워크에 접속해 평문으로 연결하는 다양한 정보를 가로챌수 있는 도구이다.  관련 정보는 http://www.oxid.it/cain.html 에서 확인 할 수 있다.

VMware Workstation - http://www.vmware.com/kr/products/workstation

VMware Workstation은 VMware 사가 만든 하이퍼바이저 기반 가상머신 소프트웨어입니다. 한대의 PC에서 여러 종류의 운영체제 운영이 가능하도록 해주는 도구입니다. WMware는 스냅샷이라는 도구를 제공합니다. 이 기능은 악성코드 분석에 많이 이용됩니다. 스낸샵 설정 후 특정 프로그램을 실행시켜 줍니다. 그리고 다시 한번 스냅샷을 생성하고 이전에 생성한 스냅샷과 비교를 하여 운영체제에서 변경된 부분을 찾게 됩니다. 그리고 기존에 커널 디버깅을 하려면 2대의 PC가 필요했지만 VMware 를 이용하면 1대의 PC에서 다른 운영체제를 커널 디버깅 할 수 있게 됩니다. VMware 를 이용하여 디버깅 하는 방법은 추후 포스팅 하겠습니다. 

Resource Hacker - http://www.angusj.com/resourcehacker/

 Resource Hacker 은 미국의 한 프로그래머가 만든 리소스 파일 탐색 프로그램 입니다. Resource Hacker 의 기능은 아래와 같습니다.

  1. 실행파일(.exe, .dll, .manifest)에 리소스 추가

  2. 리소스 제거

  3. 실행 파일 따로 저장

  4. 리소스(텍스트, 그림, 이미지, 소리, 파일) 보기

Resource Hacke 은 한글 패치 또는 리버스 엔지니어링에 사용됩니다.

출처 - 위키백과

사용법

사용 방법은 간단합니다. Resource Hacker 로 분석하고자 하는 프로그램을 열어 줍니다.

왼쪽 메뉴에서 검색하고자 하는 리소스를 검색합니다.

왼쪽 메뉴에서 찾고자 하는 리소스를 선택하면 화면 오른쪽 하단에 어떠한 리소스 인지 정보가 출력됩니다. 이러한 방법으로 얻은 정보를 통해 리버스 엔지니어링이나 리소스 편집에 이용 할 수 있습니다. 

.NET Reflector

.NET Reflecto 은 .NET 으로 개발된 프로그램을 분석하는데 이용하는 도구 입니다.

.NET 에서 제공하는 클래스들의 내부 구조 또한 확인이 가능합니다.

사용 방법은 간단합니다.

상단 메뉴에서 File -> Open Assembly 메뉴를 선택 한 뒤 .NET 으로 개발된 프로그램을 열어줍니다.

위에 보이는 그림은 .NET 으로 개발한 프로그램 소스 입니다. 이 프로그램을 .NET Reflector 로 열어 보겠습니다.

위 그림은 .NET Reflector 로 열어본 화면입니다. 기존 소스와 위 그림을 비교해 보시기 바랍니다.

두 코드에 별 차이가 없는 것을 확인 하실 수 있을 겁니다.

.NET Reflector 은 .NET 으로 개발된 프로그램을 분석할때 유용하게 사용 하실 수 있습니다.

* Process Explorer - http://technet.microsoft.com/ko-kr/sysinternals/bb896653.aspx

 Process Explorer 은 Windows Sysinternals 에서 제작한 프로그램입니다. Process Explorer 을 이용하면 현재 실행 중인 프로세스 명, 프로세스가 로딩한 DLL, Handle 값 등 다양한 정보를 확인 할 수 있습니다. 또한, 특정 DLL을 어떤 프로세스가 로딩했는지 검색 할 수 있습니다. 프로세스 관련 정보 이외에도 CPU 사용률, 메모리 사용률, 윈도우 핸들 검색 등 상당히 많은 기능을 제공하고 있습니다.

 저는 디버깅 과정에서 항상 Process Explorer 를 실행 시키고 작업을 하고 있습니다. 상단에 있는 링크에 접속하셔서 프로그램을 받고 다양한 기능들을 활용해 보시길 바랍니다. 

디버거란? 오류 수정기. 프로그램의 오류를 찾아내기 위한 소프트웨어의 총칭. 대상으로 하는 프로그램을 1명령마다 분할해서 실행시키고, 그때의 레지스터값이나 프로그램 계수기, 플래그 등 중앙 처리 장치의 내부 상황을 나타낸다. 트레이서라고도 한다.

1) OllyDbg - http://www.ollydbg.de/

   OllyDbg 는 유저모드 디버깅 도구 입니다. 무료 소프트웨어이지만 상당히 많은 기능을  제공하고 있습니다. 얼마전까지는 32Bit 모드 디버깅만 가능했지만 현재는 64Bit 모드 디버깅도 지원됩니다.

  간단한 어셈블리 프로그래밍에도 활용 할 수 있습니다. GUI 인터페이스를 제공하기 때문에 사용하기 편리하여 많은 사용자들이 이용하고 있습니다.

OllyDbg 가 많은 사용자들을 확보할수 있었던 이유는 다양한 Plug-in 때문이라고 생각 합니다.

Plug-in을 이용하면 디버거의 여러가지 기능을 추가 할 수 있습니다. 온라인 상에서 배포 되는 다양한 Plug-in을 사용해도 되지만 직접 만들어서 아용 해도 됩니다.

2) WinDbg

   WinDbg 는 마이크로소프트에서 제공하는 디버거 입니다. 유저 / 커널 모드 디버깅이 가능합니다.

하지만 OllyDbg 에 비해 사용하기 어렵습니다. 그 이유는 GUI 인터페이스를 제공하지 않기  때문입니다. WinDbg는 윈도우 제작사에서 제공하는 프로그램인 만큼 다양한 분야에 응용이 가능합니다. 파일이나 커널 디버깅 이외에도 응용프로그램이 문제가 생겼을때 생성되는 덤프 파일을 분석하여 문제가 발생한 원인을 찾아 내는데 사용할 수도 있습니다. WinDbg를 이용하면 커널 디버깅을 통해서 윈도우 내부 구조에 대해서 어느정도 파악 할 수 있습니다.

* HxD

HxD는 파일의 내용을 직접 열람하거나 수정할때 사용 하는 프로그램입니다.

HxD를 이용하면 파일을 직접 조작하여 새로운 기능을 추가 할 수 있습니다.

파일 뿐만 아니라 드라이브 내용 까지 확인이 가능합니다.

활용 분야가 매우 넓은 프로그램입니다.