PESTUDIO

정적 분석에 쓰이는 프로그램 PESTUDIO이다.

 

첫 시작할때 나오는 화면이다.

파일 고유의 해시값, 파일 크기, 파일 종류 등을 확인할 수 있다.

 

 

 

indicators 항목을 클릭하게 되면, 해당 파일의 중요한 정보들을 위험도 순으로 정렬되어 표시된다.

 

 

 

 

 

VirusTotal 항목은 백신사의 탐지율을 나타내며 탐지명을 알려준다.

 

 

fuctions항목과 libraries를 통해 dll 파일 및 함수 이름들을 확인할 수 있다.

직접 검색하여 무슨 기능을 하는지 파악을 해야 한다.

pro 버전에서는 링크로 바로 연결하여 확인할 수 있다.

 

 

tls-callback 및 resource

는 예제가 없어 스샷이 없다.

 

tls는 진입점 이전에 실행되는 코드이다.

일반적으로 애플리케이션이 실행할 환경을 설정하는 데 사용할 수 있다.

공격자는 이를 유리하게 사용하여 tls 콜백 함수에 악성 코드를 배치하면

Windows가 실제로 프로세스를 생성하기 전에 이 코드가 실행된다.

 

resource는 일반적으로 .rsrc 섹션에 저장된다. 고유한 ui정보가 여기에 저장된다.

종종 드롭 파일은 .rsrc섹션에도 저장된다.

 

 

문자열은 Yara규칙을 생성하는데도 많은 도움이 된다.

value값들을 검색하여 악성코드 제작에 쓰이는지 분석을 해준다.

 

pro버전에는 더욱 다양한 기능들이 있다.

mitre기능도 매우 유용해 보인다.