분석8 AI 분석 보고서 Claude와 IDA Pro의 연동은 복잡한 바이너리 분석 작업을 자동화하고 분석가의 생산성을 혁신적으로 향상시킨다. 본 가이드에서는 MCP(Model Context Protocol) 서버를 활용한 두 도구의 통합 과정을 단계별로 설명한다. 필수 구성 요소 준비 IDA Pro 8.3 이상 준비 (https://hex-rays.com/)Python 3.11 이상 환경 (https://www.python.org/downloads/)Claude Desktop 애플리케이션 (https://claude.ai/download)Git 설치 (https://git-scm.com/downloads/win) IDA Pro MCP 서버 설치pip install --upgrade git+https://github.com/mr.. 2025. 6. 1. 안드로이드 기초 분석 1. 가상환경에서 앱을 직접 실행 어떤 권한을 요구하는가? 실행 직후 앱이 요청하는 권한을 확인한다.모든 권한을 부여한 후, 앱의 행위 추적이 가능하다. 앱의 UI, 리소스 비교UI, 아이콘, 이미지, 폰트 등이 정상 앱을 위장한 형태는 아닌지 확인한다. 2. 구글 플레이스토어 등록 여부 확인 APK 파일 내부 또는 AndroidManifest.xml에서 package명을 확인한 뒤, 브라우저에 입력해 구글 플레이스토어에 등록되어 있는지 직접 확인할 수 있다.https://play.google.com/store/apps/details?id=패키지명 3. 정상 앱과 비교 정상 앱보다 과도한 권한을 요구하는지?너무 최신이거나 존재하지 않는 버전인가?공개된 서명과 다른 경우?정상 앱보다 지나치게 크거나 작은가.. 2025. 5. 27. 안드로이드 동적 분석 설정 1. 녹스 플레이어 설치 Noxplayer – Fastest and Smoothest Android Emulator for PC & Mac – Free and Safe Noxplayer – Fastest and Smoothest Android Emulator for PC & Mac – Free and SafePlay the most popular mobile games and run apps on PC with NoxPlayer, the best Android Emulator. Supports Android 9. Compatible with Windows & Mac. Much faster and more stable.www.bignox.com 최초 설치되는 화면은 강제 종료 한 후, 녹스 설치 폴더로 이.. 2025. 4. 30. dnSpy의 Analyzer 기능 dnSpy의 Analyzer 기능에서 제공하는 Assigned by, Used by, Uses, Read by와 같은 항목들은 코드의 흐름과 상호작용을 분석하는 데 유용한 정보를 제공한다. Assigned by 특정 변수나 필드가 어디에서 값을 할당받는지 보여준다.string key = "secret"; // "Assigned by"에서 이 코드 위치를 표시 Used by 해당 변수, 메서드, 클래스 등이 어디에서 사용되고 있는지를 보여준다.Console.WriteLine(key); // "Used by"에서 key가 이 위치에서 사용됨을 표시 Uses 특정 메서드, 클래스, 혹은 변수 등이 어떤 다른 객체나 메서드를 참조하거나 호출하는지를 보여준다.public void Encrypt() {AES.Cre.. 2025. 4. 25. Visual Basic 6.0 샘플 분석 비주얼베이직으로 제작된 샘플일 경우 아래와 같은 순서로 분석을 하면 된다.우선 VB Decompiler라는 툴을 이용하여 비주얼베이직으로 코딩 한 사용자 코드를 구분해 놓는다. VB 코드를 디스어셈블러를 통해 보여주지만 어차피 IDA로 보는 게 편하기 때문에 File -> Save procedures list -> 파일형식 *.idc 선택한다. 먼저, IDA를 통해 샘플을 불러온다. 여기에 아까 저장한 *.idc 스크립트 파일을 덮어씌운다. (File -> Script File)이렇게 불러오면 사용자가 작성한 코드를 IDA에서도 바로 구분해서 확인할 수 있다. 이젠 VB에서 API작업을 해줘야 한다. VB 6.0 기준 윈도우 API를 사용할 때는 VB6 런타임 라이브러리(MSVBVM60.DLL)를 사용한.. 2025. 4. 18. HWP OLE 파일 분석 HWP 파일 내 BINdata 안에 OLE를 포함하고 있다. OLE의 경우 PS와 다르게 자동 실행되지 않으며, OLE개체를 사용자의 상호작용(클릭 or 매크로)을 통해 실행된다. 만약 해당 내에 쉘코드가 포함되어 있을 경우에는 문서의 취약점을 악용하는 경우가 많다. malcat을 통해 구조를 확인해보자. Bindata안에 의심스러운 OLE 개체를 확인할 수 있다. 해당 Bindata는 Zlib으로 압축되어 있기 때문에 수동으로 풀어줘도 되지만, decompress 툴이 존재할 경우 자동으로 풀어주는 툴을 이용해보기도 하자. 현재 샘플 같은 경우 decompress를 하면 파일 용량이 180MB를 넘나는드는 대용량이 되버린다. 처음 4바이트는 삭제하자. 그래야지 OLE개체로 인지할 수 있다. 다시 Ma.. 2025. 4. 16. 이전 1 2 다음
