악성코드실습 (1) 썸네일형 리스트형 기초 정적 분석, lab01-03.exe lab01-03.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 총 70개중 62개의 엔진에서 악성코드라고 판단하였습니다. 분석된 이름을 보면 트로이목마라고 대부분 되어있고, win32형태이며 FSG패커를 사용한 파일이라고 추측이 가능합니다. 요약부분입니다. 해당 부분을 보면 url과 domain, ip에 컨택이 될 것 같습니다. 이후에 string에서 문자열로도 확인이 가능하겠지만,url주소와 domain, ip주소도 미리보기가 가능합니다. ip주소들은 미국에 위치한 주소들임을 알 수 있었습니다. 2. 패킹이나 난독화의 흔적이 있는가? 그 이유는? PEiD를 통해 확인해보겠습니다. 패킹은 위에서 확인한 바와같이 FSG패커로.. 이전 1 다음
