shed
2.0.0
Shed는 유용한 정보를 추출하기 위해 프로그램의 .NET 런타임을 검사 할 수있는 응용 프로그램입니다. 맬웨어가 실행 된 후에는 어떤 정보가 저장되는지에 대한 첫 번째 일반 개요를 갖기 위해 악의적 인 응용 프로그램을 검사하는 데 사용할 수 있습니다.
창고는 다음과 같습니다.
Shed 는 명령 줄 도구입니다. 사용 가능한 모든 옵션을 표시하려면 실행됩니다.
shed.exe --help
이미 실행중인 프로세스를 검사하려면 PID를 창고 로 전달해야합니다. 예:
Shed.exe --pid 2356
이진을 검사하려면 Shed는 런타임을 검사하기 위해 이진을 실행하고 부착해야합니다. 예:
Shed.exe --exe malware.exe
프로세스를 중단하기 전에 기다릴 시간 (밀리 초)의 양을 지정할 수도 있습니다. 이를 통해 프로그램은 속성을 초기화 할 시간을 가질 수 있습니다. 예:
Shed.exe --timeout 2000 --exe malware.exe
SHED를 사용하면 ManagedInjector 라이브러리 덕분에 원격 프로세스에 .NET 어셈블리를 주입 할 수 있습니다. 그렇게하려면 프로세스의 PID를 지정하고 EXE를 주입해야합니다. 일단 어셈블리가 주입되면 특정 방법을 호출하여이를 활성화 할 수 있습니다. 이 방법을 식별하는 규칙은 ManagedInjector 프로젝트에 의해 상속되며 다음과 같습니다.
예를 들어, PID 1234를 사용하여 어셈블리 를 주입 하여 공정에 주입하려면 다음 명령이 포함 된 실행 창출이 있습니다.
shed.exe --pid 1234 --exe InjectedAssembly.dll --inject
-method 옵션을 사용하면 injectedassembly.exe 에서 호출로 메소드를 지정할 수 있습니다.
아래에서 실행의 예를 찾으십시오.
기본적으로 Shed Shed는 힙과 모듈을 모두 덤프합니다. 해당 중 하나만 원한다면 -덤프-자피 옵션을 지정하여 힙에 객체 만 덤프하거나 -덤프 모듈 만 모듈 만 덤프하십시오.
힙을 덤핑하면 분석에 엄격하게 유용하지 않은 많은 정보가 생성 될 수 있습니다. 두 파일을 사용하여 필터링 할 수 있습니다.
BlackList.txt 이 파일에는 로그지해서는 안되는 유형 이름 접두사가 포함되어 있습니다.
Whitelist.txt 이 파일에는 블랙리스트에도 기록 해야하는 유형 이름 접두사가 포함되어 있습니다.
예를 들어, 모든 System.io 네임 스페이스를 필터링하려면 Logging System.io.memoryStream 에 관심이 있으시면 BlackList.txt 에 첫 번째 값을 추가하고 Whitelist.txt 에 두 번째 값을 추가 할 수 있습니다.
예제 폴더에는 SHED를 테스트하기 위해 사용할 수있는 세 가지 프로젝트가 있습니다. 예:
Shed.exe --exe ..ExamplesConfigurationSampleConfigurationSample.exe
분석이 완료되면 Shed는 다음과 같이 결과를 찾을 수있는 곳에 인쇄됩니다.
[+] 결과는 c : shed result 7800으로 저장되었습니다
Visual Studio를 설치 한 경우 Build.bat Batch 파일을 실행하면 빌드 폴더 내에 zip 파일이 생성됩니다.
저작권 (C) 2017 Antonio Parata- @S4Tan
라이센스 : GNU 일반 공개 라이센스, 버전 2 이상; 자세한 내용은이 아카이브에 포함 된 라이센스를 참조하십시오.
