250224

#추가설치
ssdeep 파이썬 라이브러리 설치
sudo apt -y install libfuzzy-dev
sudo apt -y install swig
python2 -m pip install pydeep

P1
- PE Compile Time: 2025-02-24 12:33:45
- PE Imphash: 9f1579000202bdd19d6bd3473200a845

P2
- PE Compile Time: 2025-02-24 14:20:14
- PE Imphash: 9f1579000202bdd19d6bd3473200a845

=> P1과 P2는 서로 같은 내용의 다른 파일

P2 -> int a를 추가한 P2
- PE Compile Time: 2025-02-24 14:24:00
- PE Imphash: 9f1579000202bdd19d6bd3473200a845

=> P2의 내용을 다르게 해도 Imphash 값이 같음 -> 헤더가 같으면 Imphash 값이 같음

악성코드에는 네트워크 연결을 시켜주는 코드가 필요함

P2 -> 소켓 프로그래밍 코드
- PE Compile Time: 2025-02-24 14:57:01
- PE Imphash: 384cd68ae51794306e1cad203cc90802


칼리에서 만든 악성코드 분석하기

- PE Compile Time: 2009-04-29 00:20:20
- PE Imphash: 481f47bbb2c9c21e108d65f52b04c448

=>> Imphash 값은 코드에 Import된 것에 따라 바뀌게 된다

방화벽 해제
sudo iptables -t nat -A POSTROUTING -o ens33 -s 192.168.56.0/24 -j MASQUERADE
sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 192.168.56.0/24 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.56.0/24 -d 192.168.56.0/24 -j ACCEPT
sudo iptables -A FORWARD -j LOG

sudo iptables -L -v
sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1
sudo netfilter-persistent save
sudo cat /etc/iptables/rules.v4
ping google.com