● 정적 분석 도구
| 이름 | 설명 |
| strings | 문자열 추출 도구 |
| FLOSS | ascii , utf 문자열 추출, 스택 문자열 추출, 난독화 문자열 디코딩 후 출력 정적 문자열을 제외하고 디코딩/스택 문자열만 보려면 --no-static-strings 스위치를 사용 |
| ssdeep | 샘플 간의 유사성 비율을 파악하는 데 사용됨 (동일한 악성코드군 또는 동일한 공격자 그룹에 속하는 샘플을 식별) |
| imphash | 라이브러리/임포트 함수명과 특유의 순서를 바탕으로 해시값을 계산 (동일한 소스와 동일한 방식으로 컴파일할 경우 동일한 hash를 가진다.) |
| sections | 섹션 해싱 (.text,.data,.rdata 등)을 바탕으로 해시값을 계산 |
| pestudio | footprints 기능을 이용하여 imphash와 sectionshash 정보를 파악 가능 |
| hwpscan2 | 한글(HWP) 문서 파일의 취약점을 점검 할 수있는 도구 - 현재는 무료로 사용 불 가능 |
| de4dot | NET 난독화 해제(Deobfuscator) 도구 |
| cutter | 쉘코드 및 바이너리 조각 분석 용이 , 디스어셈블러 |
| cerbero | 리버스엔지니어링 툴킷 (유료) |
| SSView | MS OLE 기반의 파일들을 분석하는데 사용하는 툴로 doc, ppt, xls와 같은 Office Open XML 파일이 아닌 문서를 정적 분석할 수 있도록 도와주는 도구 |
| pe-sieve | 악성 행위를 주입한 프로세스를 스캔하여 덤프 해주는 도구 (inline hooks, Process Hollowing, Process Doppelgänging, Reflective DLL Injection 등을 감지) |
| XVI32 Hex Editor | 덤프된 메모리 영역을 정리하여 언패킹된 바이너리를 분리하는데 사용하는 16진수 편집기 |
| pe_unmapper | PE 바이너리를 매핑된 버전에서 언매핑된 버전으로 변환하여 PE 정렬 문제를 해결하는데 사용 |
| EXE_to_DLL | EXE를 DLL로 변환하는 도구 |
● 동적 분석 도구
| 이름 | 설명 |
| 노리벤 | 프로세스 모니터와 함께 동작하고 악성코드의 런타임 지표를 수집, 분석, 리포트하는 데 사용 사용하기 위해서는 Procmon.exe를 동일한 폴더에 복사해야함 종료하면. txt 파일과. csv 파일을 결과로 저장하는데 csv 파일은 타임라인 순(이벤트가 발생한 순서) , 모든 이벤트(프로세스, 파일, 레지스트리, 네트워크 활동)를 포함 txt 파일은 카테고리를 기반한 이벤트를 요약함 |
| INetSim | 서비스를 시뮬레이션하고 비표준 포트로 연결하는 접속을 처리하는 더미 서비스를 실행 |
| DLLRunner | DLL에 있는 모든 익스포트 함수를 실행하는 파이썬 스크립트 |
| RemoteDLL | 시스템에 어떤 프로세스에도 DLL을 삽입할 수 있도록 해주는 도구 |
| FakeNet-NG | 악성코드의 네트워크 활동을 가로채고 모의 응답을 제공하는 네트워크 시뮬레이터 |
| Capa | PE,ELF,NET,shellcode 같은 실행 파일이나 샌드박스 보고서를 입력하면 해당 파일의 기능을 탐지하여 출력해주는 도구 |
| rvmi | 하이퍼 바이저 기반 고급 시스템 분석 도구 |
| pywintrace | Windows의 ETW(Event Tracing for Windows) 기능을 Python에서 활용할 수 있도록 만든 라이브러리 ( Windows 시스템의 이벤트를 실시간으로 분석) |
| flarevm | 악성코드 분석 및 리버스 엔지니어링을 위한 강력한 도구가 포함된 vm |
| SessionGopher | 원격 액세스 도구(RAT)의 저장된 세션 정보를 추출하는 데 사용, WinSCP, PuTTY, SuperPuTTY, FileZilla, Microsoft Remote Desktop(RDP) 등에서 저장된 세션 정보를 찾아내고 복호화하여, 시스템 간의 연결 정보를 파악하거나 침해 사고 대응 시 유용하게 활용 |
| NoVmp | VMProtect x64 3.0 - 3.5(최신)를 최적화된 VTIL로 가상화하고 선택적으로 x64로 다시 컴파일하는 도구 |
| scdbg | 쉘코드 에뮬레이팅 |
| tiny_tracer | Pin Tool을 활용한 도구로 인스트루먼테이션 기법을 통하여 API Call, 메모리 추적 , 안티 디버깅을 추적하는데 도움이되는 동적 분석 도구 |
| Malwoverview | 위협 인텔리전스 보조 도구 여러 샌드박스 사이트의 정보를 제공하고 스캔해주는 도구 |
● 악성코드 자동화 분석 사이트
| 주소 | 설명 |
| ANY.RUN | 무료 계정은 분석 횟수·사이즈·기능 제한 |
| Hybrid Analysis | 무료 사용 가능 / 연구 기반 내용 증명 시 샘플 다운로드 가능 |
| Malware-Traffic-Analysis.net | 로그인 없이 전체 열람 가능 / PCAP 및 일부 악성파일 다운로드 가능 |
| InQuest Labs | 무료 사용 가능 / 파일 직접 다운로드는 제한적 |
| Joe Sandbox | 무료 계정 환경 선택 제한 / 보고서 일부 비공개 / 샘플 다운로드 불가 |
| Tria.ge | 무료·공개 서비스 제공 |
| CAPE Sandbox | 오픈소스 기반 무료 샌드박스 |
| virustotal | 다중 백신 스캐닝 엔진 (1) |
| virscan | 다중 백신 스캐닝 엔진 (2) |
| jotti virusscan | 다중 백신 스캐닝 엔진 (3) |
| metadefender | 다중 백신 스캐닝 엔진 (4) |
● 악성코드 샘플 다운로드 사이트
| 주소 | 설명 |
| MalwareBazaar | 무료, MCP / 샘플 다운로드 가능 |
| URLhaus | 악성코드 샘플 사이트 (1) |
| Contagio Dump | 악성코드 샘플 사이트 (2) - 블로그 메일로 패스워드 요청해야하는데 infected666+다운받은 파일명의 마지막 알파벳으로 시도 |
| TheZoo | 악성코드 샘플 사이트 (3) |
| InQuest DFI | 악성코드 샘플 사이트 (4) |
| Malware Exhibit | 악성코드 샘플 사이트(5) |
| PMAT Labs | 악성코드 샘플 사이트(6) |
| VX-Underground | 악성코드 샘플 사이트(7) , APT, PoC 아카이브 중 하나 |
| Malshare | 악성코드 샘플 사이트(8) |
| ContagioDump | 악성코드 샘플 사이트(9) |
| alexandre borges | 악성코드 샘플 사이트(10) |
● 기타 유용한 사이트
| 주소 | 설명 |
| pylingual | pyc 파일을 Python 소스로 역컴파일해주는 온라인 변환 서비스. |
| NTDOC | Windows Native API 관련 구조체·함수 정보를 정리한 고품질 문서 사이트. |
| iRed.team | 레드팀/공격자 관점의 침투기법·시나리오·TTP 정리 사이트. |
| 레드팀 플레이북 | 실제 레드팀 작전 절차와 공격 흐름을 플레이북 형태로 정리한 자료. |
| Malpedia | 악성코드 패밀리, IOC, 공격자 그룹 정보가 정리된 위협 인텔리전스 데이터베이스. |
| revers.engineering | 유명 해외 리버서의 블로그로 고급 리버싱 기법과 분석 사례 공유. |
| heero.tistory | 디스어셈블 방해 난독화 우회 방법을 정리해둔 한국 블로그 글. |
| Zeltser Malware Tools | 악성코드 분석에 필요한 도구·샌드박스·리소스를 모아둔 참고 페이지. |
| Infosec.house | 다양한 악성코드 관련 자료, 분석 링크, 리소스를 모아둔 컬렉션 사이트. |
| Unprotect.it | 인젝션, 우회 기법, 취약점 PoC 등 공격 기법을 기술적으로 정리한 사이트. |
| Terminus | Windows 내부 구조체, PE 필드, 내부 API 정보 등을 상세히 문서화한 자료. |
| ransomware.live | 전 세계 랜섬웨어 감염 현황 및 피해 보고를 실시간 수집하는 인텔리전스 플랫폼. |
| ANY.RUN Malware Trends | 실시간 악성코드 행위 통계, 인기 샘플, 패밀리 트렌드를 시각화한 서비스. |
| CISCO Talos Intelligence | 도메인/IP 악성도 조회, 위협 인텔리전스, 공격 캠페인 분석을 제공하는 Talos DB. |
● 사이버보안 뉴스
| 주소 | 설명 |
| The Hacker News | 전 세계 최신 해킹·취약점·랜섬웨어 소식을 가장 빠르게 다루는 보안 뉴스 사이트. |
| Bleeping Computer | 랜섬웨어 및 악성코드 정보에 특히 강한 글로벌 보안 뉴스 매체. |
| krebsonsecurity | 대형 보안 사고와 해킹 사건을 심층 분석하는 Brian Krebs의 전문 보안 블로그. |
| 보안뉴스 | 한국 보안 업계 전반의 사건·사고·정책·분석을 다루는 대표적인 국내 보안 뉴스 사이트. |
| 데일리시큐 | 국내외 해킹 사고·취약점·보안 경고를 신속히 제공하는 한국 보안 전문 매체. |
| Kaspersky blog | 카스퍼스키의 사용자 중심 보안 블로그로 보안 이슈·사건 요약을 제공. |
| Kaspersky Threat Research | 카스퍼스키 연구팀의 고급 악성코드·APT·위협 분석 리포트를 제공하는 기술 블로그. |
| Security Affairs | 글로벌 멀웨어·APT·데이터 유출 소식을 빠르게 업데이트하는 보안 분석 중심 매체. |
| Dark Reading | 기업 보안·취약점·해킹 동향 등 전문가 대상 심층 보안 기사 제공. |
| Cybersecurity Dive | 주요 보안 사건·사이버 공격 뉴스를 짧고 빠르게 요약해주는 기술 뉴스 사이트. |
| Infosecurity Magazine | 최신 공격 동향·분석 기사·보안 트렌드를 제공하는 글로벌 보안 전문지. |
| CheckPoint Research | 월간 멀웨어 통계와 공격 캠페인 분석을 제공하는 체크포인트 연구 블로그. |
| Trend Micro Security | 멀웨어·취약점·공격 인프라 분석 등 기술 리서치를 다루는 연구 블로그. |
| Mandiant Threat Intelligence | 실제 침해사고 기반의 APT·공격 그룹 분석을 제공하는 최고 수준의 위협 인텔리전스 리포트. |
| Unit42 (Palo Alto) | 글로벌 사이버 공격 캠페인, 멀웨어, 위협 인텔리전스 분석을 제공하는 팔로알토 연구팀 블로그. |
| KISA 보호나라(KrCERT) | 한국 인터넷 침해사고 대응 기구로, 취약점 공지·보안 경고·악성코드 유포 알림 제공. |
| 이스트시큐리티 블로그 | 국내에서 활발히 유포되는 악성코드·피싱·국내 공격 캠페인 정보를 빠르게 제공. |
| 안랩 ASEC 블로그 | 한국에서 발견되는 멀웨어·APT 캠페인 분석을 상세하게 제공하는 안랩 연구팀 블로그. |
| 잉카인터넷 시큐리티 센터 | 국내 악성코드·피싱 사례 및 보안 위협 대응 정보를 제공하는 보안 리서치 센터. |
| ISC SANS Diary | 전 세계 인터넷에서 관찰되는 실시간 위협·트래픽 이상 현상·멀웨어 샘플 분석을 매일 제공. |
| CTX.io | 이메일 보안, 스팸/피싱 탐지, 이메일 위협 인텔리전스 관련 API 및 서비스 제공 사이트. |
| MITRE ATT&CK | 공격자 전술(TTP), 침해 행위 기법, 위협 모델을 체계적으로 정리한 글로벌 사이버공격 프레임워크 및 지식베이스 사이트. |
'Reversing > IT & Security' 카테고리의 다른 글
| 악성코드 분석 환경 구성하기 (0) | 2025.12.02 |
|---|---|
| 악성코드 분석 (0) | 2024.02.23 |
