악성코드 분석 (11) 썸네일형 리스트형 IDA Pro 이용하여 Lab05-01.dll 분석하기 1) DllMain의 주소는 무엇인가? IDA pro에서 실습 파일을 열면 자동으로 dll main함수부터 보여줍니다. 때문에 main의 주소는 1000D02E임을 바로 알 수 있습니다. 2) Imports 윈도우를 이용해 gethostbyname을 탐색해보자. 임포트 위치는 어디인가? 우선 gethostbyname이라는 함수에 대해 알아보겠습니다. 우리가 접속하고자하는 사이트에 대한 정보들을 알아오기위한 함수입니다. 그 정보들에는 ip등이 있곘습니다. import window를 보고 검색을 통해 api를 찾습니다. gethostbyname함수의 import위치는 .idata 섹션의 100163CC라는 위치에서 사용할 수 있도록 명시되어있습니다. 3) gethostbyname에 함수는 몇 개인가? get.. IDA Pro 프로그램 1) idapractice.exe를 IDA 프로그램을 이용하여 연다. 32비트 파일 실행위한 ida를 실행하고 분석할 파일을 선택합니다. 파일을 열면 어떤 파일을 분석할 것인지 자동으로 선택이 되어 보여줍니다. pe파일임을 자동으로 인식하니 그냥 ok하고 넘어갑니다. 그래프 모드로 보여지는 모습입니다. 2) 그래프모드로 열린 화면에서 텍스트 모드로 변경한다. 이 화면에서 텍스트 모드로 변경하려면 [스페이스바] 단축키를 사용합니다. 이전 그래프 모드로 돌아가려면 동일하게 스페이스 바를 누르면 됩니다. 3) 그래프모드에서 행번호와 명령어 코드를 출력하기 위한 옵션을 설정하시오. option> General> 로 들어가서 위와같이 설정합니다. 4) 단축키를 사용하여 401D90 주소 위치로 이동하시오. G를 .. 기초 동적 분석, Lab03-04.exe 2020/05/24 - [study/Reversing] - 기초 동적 분석, Lab03-03.exe 기초 동적 분석, Lab03-03.exe 이전 포스팅 2020/05/23 - [study/Reversing] - 기초 동적 분석, Lab03-02.dll 기초 동적 분석, Lab03-02.dll 2020/05/21 - [study/Reversing] - 기초 동적 분석, Lab03-01.exe 기초 동적 분석, Lab03-01.exe 기초.. hxxyxxn-1238.tistory.com Lab03-04.exe파일을 분석해보도록 하겠습니다. 1) 이 파일을 실행했을 때 어떤 일이 발생했는가? 먼저 CFF exp, import directory를 보도록 하겠습니다. kernel32.dll: 대부분의 함수들이 .. 기초 동적 분석, Lab03-03.exe 이전 포스팅 2020/05/23 - [study/Reversing] - 기초 동적 분석, Lab03-02.dll 기초 동적 분석, Lab03-02.dll 2020/05/21 - [study/Reversing] - 기초 동적 분석, Lab03-01.exe 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파.. hxxyxxn-1238.tistory.com Lab03-03.exe를 동적분석 해보겠습니다. 1) Process Exp로 이 악성코드를 모니터링 했을 때, 알아낼 수 있는 것은? procexp를 먼저 실행시킨 후 악성코드를 실행하여야 합니다. 악성코드를 실행해보면, procexp에 lab03-.. 기초 동적 분석, Lab03-02.dll 2020/05/21 - [study/Reversing] - 기초 동적 분석, Lab03-01.exe 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파일들을 옮겨놓고 스냅샷을 통해 초기상태를 저장해둡니다.!!! 꼭!!!!! Lab03-01.exe파일� hxxyxxn-1238.tistory.com 이전 포스팅에 이어 Lab03-02.dll을 분석해보도록 하겠습니다. 스냅샷을 이용하여 초기 세팅으로 먼저 돌아가서 시작합니다. 동적 분석을 하기에 앞서, 정적 분석을 통해 알아보겠습니다. CFF exp를 이용해서 import dll을 보았습니다. dll 라이브러리들이 정직하게 보이는 것으로 보아 패킹은 .. 기초 동적 분석, lab01-01.exe, lab01-01.dll 2020/04/16 - [study/Reversing] - 기초 정적 분석, lab01-01.exe, lab01-01.dll 분석하기 기초 정적 분석, lab01-01.exe, lab01-01.dll 분석하기 2020/04/16 - [study/Malicious code basic, Reversing] - 기초 정적 분석에 필요한 도구 기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지.. hxxyxxn-1238.tistory.com 위의 정적분석에 이어 동적분석을 진행하는 포스팅입니다! 정적분석을 먼저 확인하고 와주세요. *저는 맥os에 가상머신 Virtual Box를 설치 후, window xp환경에서 진행하고 있습니다. *윈도우os에서.. 기초 정적 분석, lab01-04.exe lab01-04.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 72개중에 61개의 엔진에서 악성코드라고 판단이 되었습니다. 아마 이 파일은 트로이목마 파일인 것 같고, 역시나 win32형태입니다. downloader가 있는 것을 보니 네트워크를 통해 무언가를 다운로드 해오는 것 같습니다. import는 3개의 dll이 있습니다. 연결된 url과 도메인, ip들을 볼 수 있습니다. 만약 이것이 실제 악성코드라면, 알 수없는 주소로 가서 좋지않은 것들을 다운로드해올 가능성이 있으니 의심을 해봐야합니다. 이 exe파일은 어떤 특정 실행하는 파일이 연관되어있는것이 하나 더 있음을 알 수 있습니다. 그리고 url, domain, i.. 기초 정적 분석, lab01-03.exe lab01-03.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 총 70개중 62개의 엔진에서 악성코드라고 판단하였습니다. 분석된 이름을 보면 트로이목마라고 대부분 되어있고, win32형태이며 FSG패커를 사용한 파일이라고 추측이 가능합니다. 요약부분입니다. 해당 부분을 보면 url과 domain, ip에 컨택이 될 것 같습니다. 이후에 string에서 문자열로도 확인이 가능하겠지만,url주소와 domain, ip주소도 미리보기가 가능합니다. ip주소들은 미국에 위치한 주소들임을 알 수 있었습니다. 2. 패킹이나 난독화의 흔적이 있는가? 그 이유는? PEiD를 통해 확인해보겠습니다. 패킹은 위에서 확인한 바와같이 FSG패커로.. 이전 1 2 다음
