유찬의 Portfolio

API Monitor: Spy on API Calls and COM Interfaces (Freeware 32-bit and 64-bit Versions!) | rohitab.com API Monitor: Spy on API Calls and COM Interfaces (Freeware 32-bit and 64-bit Versions!) | rohitab.comAPI Monitor v2 is currently in Alpha. Installers for both 32-bit and 64-bit versions are now available. Download Now. Save Capture and Monitor Metro apps using the latest release, which includes ..

Releases · hasherezade/pe-sieve · GitHub Releases · hasherezade/pe-sieveScans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected PEs, shellcodes, hooks, in-memory patches). - hasherezade/pe-sievegithub.com해당 경로에서 최신 release버전으로 받아두었다.PE-sieve란?Windows 프로세스 메모리를 검사해 인젝션, 언패킹, Hollowing 같은 악성 행위를 탐지하는 메모리 포렌식 도구실행 중인 프로세스 내부에서 수정·삽입된 PE 파일과 쉘코드를 덤프..

GitHub - mandiant/flare-fakenet-ng: FakeNet-NG - Next Generation Dynamic Network Analysis Tool · GitHub해당 링크에서 우측 Releases탭 링크의 Latest로 들어가 .zip 파일을 다운로드 받으면 된다.Windows Defender로 인해 다운로드가 불가능한 경우점 3개 > 유지 > 삭제 탭 우측 화살표 > '그래도 계속' 클릭이 프로그램의 특성상 수상한 행위를 하는 것이기에 virus total 검사 결과도 의심스럽다고 한다.하지만 공식 github 경로라면 괜찮다고 한다.FakeNet-NG 란?FakeNet-NG는 악성코드의 네트워크 통신을 가짜로 받아 분석할 수 있게 해주는 네트워크 시뮬레이션 도구기능네트워크 트래..

Process Monitor - Sysinternals | Microsoft Learn해당 링크를 클릭하면 다운로드가 가능하다.Process Monitor (ProcMon) 이란?Process Monitor는 Windows에서 실행 중인 프로그램의 파일·레지스트리·프로세스 활동을 실시간으로 추적하는 시스템 모니터링 도구기능실시간 이벤트 추적파일 생성/삭제, 레지스트리 접근, 프로세스 실행/종료 같은 행동을 모두 기록필터링 기능특정 프로세스, 경로, 이벤트만 골라서 볼 수 있어서(예: 특정 exe가 어떤 파일을 건드리는지 추적 가능)악성코드 분석 활용실행 시 생성되는 파일, 자동 실행 등록(레지스트리), C2 관련 흔적 등을 확인 가능→ “이 프로그램이 시스템에서 뭘 하는지” 행동 기반으로 파악문제 원인 ..

UPX: the Ultimate Packer for eXecutables - Homepage버전의 OS에 맞는 release를 다운로드하면 된다.UPX Unpacker 란?UPX 언패커는 실행 파일에 적용된 UPX 압축을 해제해서 원래 코드로 복원하는 도구기능압축 해제 (Unpacking)UPX로 패킹된 .exe 파일을 원래 상태로 복원해서 내부 코드 확인 가능정적 분석 가능하게 변환압축 상태에서는 코드가 뒤섞여 있어서디버거나 디스어셈블러(예: IDA, x64dbg)로 분석하기 어려운데,언패킹하면 함수 구조, 문자열, API 호출 등이 드러남악성코드 분석 필수 단계많은 악성코드가 UPX로 1차 난독화를 하기 때문에분석 전에 언패킹은 거의 기본 작업사용법 upx -d "upx 패킹된 파일명" 변형된 UPX..

Wireshark • Go Deep | DownloadWireshark란?네트워크 패킷을 실시간으로 캡처하고 내부 내용을 분석하는 트래픽 분석 도구기능1. 패킷 캡처 (Capture)네트워크 인터페이스 선택 후 실시간 트래픽 수집LAN / Wi-Fi / Loopback 트래픽 분석 가능2. 프로토콜 분석HTTP, TCP, UDP, DNS 등 다양한 프로토콜 자동 해석계층별 구조 확인 (OSI 기반)3. 필터링 기능Display Filter로 원하는 패킷만 보기예:httpip.addr == 192.168.0.1tcp.port == 4434. 스트림 추적 (Follow Stream)TCP/HTTP 통신 흐름 재구성평문 데이터 확인 가능 (ex. 로그인 정보)5. 패킷 상세 분석Hex + ASCII 형태로 데..

x64dbg - Browse /snapshots at SourceForge.netx64dbg에서 최신 버전으로 다운로드 받아 설치를 진행하였다.x64dbg란?Windows 환경에서 실행 파일을 분석하고 동작을 추적할 수 있는 오픈소스 디버거로, 프로그램 내부 동작을 실시간으로 뜯어보며 분석하는 리버싱용 디버거다. 비슷한 도구로는 OllyDbg, IDA, Ghidra 가 있다.기능1. 기본 디버깅 기능실행 파일(EXE, DLL) 로드 후 코드 흐름 추적Breakpoint(중단점) 설정으로 특정 지점에서 실행 멈춤Step Into / Step Over로 한 줄씩 실행 분석2. 레지스터 & 메모리 분석CPU 레지스터 값 실시간 확인 (EAX, RAX 등)특정 메모리 주소 값 확인 및 수정Stack / Heap..

https://www.winitor.com/download winitor.compestudio This software is provided 'as-is', without any explicit or implicit guarantees. Under no circumstances shall the author be responsible for any damages resulting from the use of pestudio. basic free Malware Analysis in a private context. Detect filwww.winitor.com위 공식 홈페이지에서 다운로드 받으면 된다.PE Studio란?실행 파일(PE)의 위험 요소를 실행 전에 빠르게 점검해주는 정적 분석용 초기 스캐너다..

Releases · winsiderss/systeminformer Releases · winsiderss/systeminformerA free, powerful, multi-purpose tool that helps you monitor system resources, debug software and detect malware. Brought to you by Winsider Seminars & Solutions, Inc. @ http://www.windows-inter...github.com위 사이트에서 systeminformer-(버전정보)-release-setup.exe를 다운로드 및 실행하면 자동으로 설치가 진행된다.Process Hacker 2(현 System Informer)Windows에서..

Releases · dnSpyEx/dnSpy Releases · dnSpyEx/dnSpyUnofficial revival of the well known .NET debugger and assembly editor, dnSpy - dnSpyEx/dnSpygithub.comdnSpy-net-win64.zip을 받으면 dnSpy.exe가 들어있다.악성코드가 작성된 버전에 맞춰서 분석하기 위해 win32 버전도 받아두면 좋을 것이다.dnSpy란?.NET 프로그램을 디컴파일·디버깅·수정까지 할 수 있는 올인원 리버스 엔지니어링 도구다.dnSpy와 dnSpyEx다운로드 받는다면 dnSpy지만, 원본 dnSpy는 개발이 중단된 상태이다.dnSpyEx는 현재 커뮤니티에서 유지보수되고 있는 버전이며 실행 파일 이름은 ..