1. 취약점 분석, 실제 데이터 흐름 분석 및 시각화


CanSecWest 2012에서 악성코드 샘플 및 PoC 파일 분석을 위해 제안한 기술입니다. 여기서는 취약점 분석을 위해 사용될 수 있는 많은 방법들 중에서 DBI(Dynamic Binary Instrumentation)와 데이터 흐름 분석을 사용하였습니다. 이를 시각화하여 분석을 쉽고 빠르게 할 수 있도록 도와주고 있습니다.


Control flow differential analysis result



2. SDhash와 Gephi를 이용한 악성코드 클러스터링 시각화 도구


악성코드 샘플들 간의 유사성을 알아내기 위해 SDhash를 이용하여 클러스터링을 수행하고, 이를 시각화하여 보여줍니다.


An example cluster excerpt from the graph produced by converting SDhash scored hashes to GDF


3. 악성코드 API 호출 및 심볼 정보 시각화 도구


악성코드에서 사용되는 API 호출과 바이너리에 포함된 심볼 정보를 시각화하여 보여주는 도구입니다. 파이썬으로 제작되었으며 코드가 공개되어 있습니다.



AND