패킹 (3) 썸네일형 리스트형 기초 정적 분석, lab01-04.exe lab01-04.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 72개중에 61개의 엔진에서 악성코드라고 판단이 되었습니다. 아마 이 파일은 트로이목마 파일인 것 같고, 역시나 win32형태입니다. downloader가 있는 것을 보니 네트워크를 통해 무언가를 다운로드 해오는 것 같습니다. import는 3개의 dll이 있습니다. 연결된 url과 도메인, ip들을 볼 수 있습니다. 만약 이것이 실제 악성코드라면, 알 수없는 주소로 가서 좋지않은 것들을 다운로드해올 가능성이 있으니 의심을 해봐야합니다. 이 exe파일은 어떤 특정 실행하는 파일이 연관되어있는것이 하나 더 있음을 알 수 있습니다. 그리고 url, domain, i.. 기초 정적 분석, lab01-03.exe lab01-03.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 총 70개중 62개의 엔진에서 악성코드라고 판단하였습니다. 분석된 이름을 보면 트로이목마라고 대부분 되어있고, win32형태이며 FSG패커를 사용한 파일이라고 추측이 가능합니다. 요약부분입니다. 해당 부분을 보면 url과 domain, ip에 컨택이 될 것 같습니다. 이후에 string에서 문자열로도 확인이 가능하겠지만,url주소와 domain, ip주소도 미리보기가 가능합니다. ip주소들은 미국에 위치한 주소들임을 알 수 있었습니다. 2. 패킹이나 난독화의 흔적이 있는가? 그 이유는? PEiD를 통해 확인해보겠습니다. 패킹은 위에서 확인한 바와같이 FSG패커로.. 기초 정적 분석, lab01-01.exe, lab01-01.dll 분석하기 2020/04/16 - [study/Malicious code basic, Reversing] - 기초 정적 분석에 필요한 도구 기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지만 악성코드를 직접 실행하면 피해가 올 수 있으니, 실행하지 않고 분석하는 과정인 정적분석의 기본을 알아보고자 합니다.. hxxyxxn-1238.tistory.com 앞 포스팅을 보고오시면 더 이해하기 쉽습니다. 1. virustotal에 업로드 후 보고서 확인하기/ 기존 안티바이러스 정의된 것과 일치하는가? 이전 포스팅에 한번 진행된 부분이라 생략하겠습니다. 2. 이 파일의 컴파일 시점? - PEviewer이용 exe파일의 컴파일 시간은 2010/12/19 16:.. 이전 1 다음
