본문 바로가기

security/해킹 보안

악성코드 추출, 탐지 분석용 도구 Pe-Sieve

안녕하세요 테크넷 마스터 김재벌 입니다.


간만에 보안 쪽 관련 포스팅을 준비해 봅니다.


이번에는 PE-SIEVE 라는 도구 입니다.


이 도구는 간결한 오픈소스 기반 도구로 git 을 통해서 배포 되고 있습니다.


git clone --recursive https://github.com/hasherezade/pe-sieve.git 명령을 통해 하위 모듈과 함께 가져 올 수 있습니다.


윈도우 버전의 테스트 빌드는 아래 링크를 통해 받을 수 있습니다.


해당 도구의 사용법은 매우 간단합니다. 명령어 수행시 /pid 를 붙여주면 됩니다.


작업 관리자나 process explorer 등의 도구를 이용하여 의심 스러운 프로세스의 PID를 옵션으로 넣어주면 바로 덤프와 추출을 해 줍니다.

이 도구는 실행중인 멀웨어를 탐지 하고 추후 분석을 도와주는 매우 가벼운 도구 로 인젝션 된 프로세스에서 PE, 쉘 코드 , 후킹, 등을 인식하고 덤프해 줍니다.


이 도구는 https://github.com/hasherezade/libpeconv.git 라이브러리를 통해 인라인 후킹 탐지, DLL 인젝션 등을 탐지 합니다.


가볍게 테스트 하여 사용하기 좋고, 활용하기 따라 매우 유용하게 사용이 가능한 도구 입니다.


그럼... ^^