1. GeoIP가 지원하는 언어 C LibraryPerl ModulePHP ModuleApache Module (mod_geoip)Java ClassPython ClassC# ClassRuby ModuleMS COM Object?(ASP, ColdFusion, Pascal, PHP, Perl, Python, and Visual Basic code)VB.NET?(Only works with GeoIP Country)PascalJavaScript 2. GeoIP 설치 git clone git://github.com/appliedsec/pygeoip.git cd pygeoip python setup.py build sudo python setup.py install 3. GeoIP에 사용될 IP 데이터베이스 ..
1. About Python으로 구현된 "honeyclient"이다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말한다. http://buffer.github.com/thug/doc/index.html 2. 설치모듈 PythonGoogle V8PyV8Beautiful Soup 4Html5libLibemuPylibemuPefileChardethttplib2CssutilsZope interfaceMongoDB (optional)PyMongo (optional) 3. 설치 환경 : Ubuntu 12.04 LTS amd64 설치방법 : Shell script #!/bin/bash #Thug installation on the Ubuntu 12.04 ..
Python으로 구현된 "honeyclient"입니다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말합니다. http://code.google.com/p/phoneyc/ 기능 1. 원격 링크에 유용한 HTML 태그를 이해 hrefs, imgs 등...또한 iframe, frame 등2. 스크립팅 언어를 이해자바 스크립트 (spidermonkey를 이용)Visual Basic 스크립트 (vb2py를 이용)deobfuscation, 원격 스크립트 소스를 지원3. ActiveX 취약점의 공격 탐지를 위한 모듈 지원 4. 페이지에 대한 또다른 검색 방법을 지원ClamAV를 통한 AV 검출취약점 모듈 설치 환경 : Ubuntu 12.04 LTS amd..
YARA는 패턴을 이용하여 악성코드 분류하는데 사용하는 툴이다. 코드는 google에서 관리를 하고, 제작은 virustotal에서 제작하였다. 1. Yara Install 환경 : Linux(BackTrack5 R3) 설치 : sudo apt-get install libpcre3-dev g++ wget http://yara-project.googlecode.com/files/yara-1.6.tar.gz tar xfz yara-1.6.tar.gz cd yara-1.6 ./configure make make check sudo make install 환경 : Windows 다운로드 : https://code.google.com/p/yara-project/downloads/list + 요구하는 python ..
JSDetox는 Javascript를 수동으로 분석하는 프로그램이다. 자세한 내용은 다음 사이트에서 참고 http://www.relentless-coding.com/projects/jsdetox 다음 영상들은 JSDetox를 이용하여 분석하는 모습들을 담고 있다. [영상1. JSDetox - Analyzing The Blackhole exploit kit] [영상2. JSDetox - Solving the Breaking Point Javascript Obfuscations Contest] JSDetox의 가장 큰 장점은 가독성이라고 생각을 한다. 말도 안되는 장문의 변수난독화나 분석가들 암산공부 시키기 위해 계산을 해야하도록 설정한 메모리 영역 사이즈 또는 for나 while같은 반복구문의 반복 횟수들..
