악성코드 실습 (4) 썸네일형 리스트형 기초 동적 분석, Lab03-03.exe 이전 포스팅 2020/05/23 - [study/Reversing] - 기초 동적 분석, Lab03-02.dll 기초 동적 분석, Lab03-02.dll 2020/05/21 - [study/Reversing] - 기초 동적 분석, Lab03-01.exe 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파.. hxxyxxn-1238.tistory.com Lab03-03.exe를 동적분석 해보겠습니다. 1) Process Exp로 이 악성코드를 모니터링 했을 때, 알아낼 수 있는 것은? procexp를 먼저 실행시킨 후 악성코드를 실행하여야 합니다. 악성코드를 실행해보면, procexp에 lab03-.. 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파일들을 옮겨놓고 스냅샷을 통해 초기상태를 저장해둡니다.!!! 꼭!!!!! Lab03-01.exe파일을 분석해보도록 하겠습니다. 1) 악성코드의 임포트 함수와 문자열은 무엇인가? lab03-01.exe파일을 우클릭 후, CFF Explorer를 통해 임포트 함수를 살펴보겠습니다. kernel32.dll이 있고, 그 안에 ExitProcess함수만 존재합니다. 해당 함수를 msdn에 검색해보니 어떤 프로세스화 호출 등을 종료하는 함수입니다. 호출 종료함수만 나와있어 무언가 숨겨져있는 것이 있을 것 같고, 어떤 특별한 행위를 한다고 판단하기 어렵습니다. 그래서 한번 패킹이 되어있는지 확인하겠습.. 기초 정적 분석, lab01-04.exe lab01-04.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 72개중에 61개의 엔진에서 악성코드라고 판단이 되었습니다. 아마 이 파일은 트로이목마 파일인 것 같고, 역시나 win32형태입니다. downloader가 있는 것을 보니 네트워크를 통해 무언가를 다운로드 해오는 것 같습니다. import는 3개의 dll이 있습니다. 연결된 url과 도메인, ip들을 볼 수 있습니다. 만약 이것이 실제 악성코드라면, 알 수없는 주소로 가서 좋지않은 것들을 다운로드해올 가능성이 있으니 의심을 해봐야합니다. 이 exe파일은 어떤 특정 실행하는 파일이 연관되어있는것이 하나 더 있음을 알 수 있습니다. 그리고 url, domain, i.. 기초 정적 분석, lab01-02.exe lab02를 진행해보겠습니다. 이전과 같은 방식으로 진행됩니다. 파일은 악성코드 예제인관계로 업로드가 되질않네요.. 1. Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 72개의 엔진 중에 54개에서 악성코드로 탐지하였습니다. 안티바이러스의 이름을 확인가능합니다. 대부분 트로이목마라고 되어있는 것으로 보아 형태를 알 수 있고, win32형태로 동작한다는 것, 그리고 downloader라는 단어가 나옴으로 인해 네트워크 기반으로 악성코드가 동작함을 유추할 수 있습니다. 이 파일은 win32 타입이고, 패커의 종류도 미리 알수 있습니다. upx패커인지는 peid를 통해 확인해보겠습니다. import는 4가지 dll로 되어있는데, advapi32.dll은 익숙하.. 이전 1 다음
