728x90
반응형
악성코드 샘플을 다루면서 샘플 파일의 Hash 값을 빠르게 확인할 수 있는 프로그램의 필요성을 많이 느낍니다.
보통 바이러스 토탈(https://www.virustotal.com/)에서 샘플 파일을 검사하면 그림과 같이 파일에 대한 MD5 / SHA1 값을 보실 수 있습니다.
샘플 파일의 크기가 540672 바이트로 동일한 샘플도 MD5 값이 다르다면 변종으로 취급해야 합니다.
그래서 해당 파일의 변조 등을 확인하는 방법으로 가장 많이 사용되는 것이 현재 MD5 값을 통해 확인할 수 있습니다.
그렇다면 파일의 MD5 값 등을 손쉽게 확인할 수 있는 프로그램은 없는가? 있다면 가장 편한 프로그램은 무엇이 있는지 알아보겠습니다.
무료 프로그램 중에 개인적으로 추천하는 프로그램은 HashOnClick 라는 프로그램입니다.
[HashOnClick]
버전 : 2.1.0.10
라이센스 : Freeware / Shareware
사용 가능 OS : Windows 98 SE / ME / 2000 / XP / 2003 / Vista
제작사 홈페이지 : http://www.2brightsparks.com/downloads.html#freeware
버전 : 2.1.0.10
라이센스 : Freeware / Shareware
사용 가능 OS : Windows 98 SE / ME / 2000 / XP / 2003 / Vista
제작사 홈페이지 : http://www.2brightsparks.com/downloads.html#freeware
해당 프로그램은 원래 무료 버전이지만, 최근에 상용버전으로 몇 가지 기능이 추가된 부분이 있으며, 무료버전도 계속적으로 지원하고 있습니다.
[무료 버전과 유료 버전과의 차이점]
- 무료 버전 : MD5 / SHA1 / CRC32 값 지원
- 유료 버전
• Part of OnClick Utilities.
• MD4 hashing.
• RipeMD-128 hashing.
• RipeMD-160 hashing.
• SHA-256 hashing.
• SHA-512 hashing.
• Tiger hashing.
[제품 스크린샷]
제품을 설치하고 재부팅을 거치면 다음과 같은 방식으로 특정 파일의 Hash 값을 확인하실 수 있습니다.
자신이 지정한 파일에 마우스 우클릭을 하시면 그림과 같이 [Calculate Hash Value] - [MD5 / SHA1 / CRC32]를 선택하실 수 있습니다.
실제로 선택한 파일의 MD5 값을 보시면 Hash 값과 해당 파일의 이름을 보실 수 있습니다.
[Save to file] - 해당 결과값을 txt 파일로 저장하기
[Copy to clipboard] - 해당 결과값을 클립보드에 복사하기
스크린샷에 나온 값을 클립보드에 복사하기를 한 후 이번에는 다른 샘플과 함께 확인해 보겠습니다.
한 번에 여러 샘플을 확인하기 위해서는 원하시는 파일을 드래그하여 마우스 우클릭을 이용하시면 됩니다.
스크린샷과 같이 이전에 확인한 MD5 값과 동일한 샘플이 발견되면 푸른색으로 표시가 되어 유사성 여부도 확인하실 수 있습니다.
최근 어느 자료에서 읽은 기억에는 MD5 값은 이미 해커에 의해 변조가 가능한 툴이 실제적으로 이용 가능한 수준이 되었다는 글을 읽었습니다.
아마 더 높은 수준의 파일 Hash 값을 통해 샘플의 변조 여부를 확인하는 것도 좋은 방법이라고 생각합니다.
728x90
반응형