Strings (4) 썸네일형 리스트형 기초 동적 분석, Lab03-01.exe 기초 동적 분석 도구를 이용하여 Lab03-1.exe 파일의 악성코드를 분석해보겠습니다. 실습 전에, 실습에 필요한 파일들을 옮겨놓고 스냅샷을 통해 초기상태를 저장해둡니다.!!! 꼭!!!!! Lab03-01.exe파일을 분석해보도록 하겠습니다. 1) 악성코드의 임포트 함수와 문자열은 무엇인가? lab03-01.exe파일을 우클릭 후, CFF Explorer를 통해 임포트 함수를 살펴보겠습니다. kernel32.dll이 있고, 그 안에 ExitProcess함수만 존재합니다. 해당 함수를 msdn에 검색해보니 어떤 프로세스화 호출 등을 종료하는 함수입니다. 호출 종료함수만 나와있어 무언가 숨겨져있는 것이 있을 것 같고, 어떤 특별한 행위를 한다고 판단하기 어렵습니다. 그래서 한번 패킹이 되어있는지 확인하겠습.. 기초 정적 분석, lab01-03.exe lab01-03.exe를 분석해보겠습니다. 1. virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 총 70개중 62개의 엔진에서 악성코드라고 판단하였습니다. 분석된 이름을 보면 트로이목마라고 대부분 되어있고, win32형태이며 FSG패커를 사용한 파일이라고 추측이 가능합니다. 요약부분입니다. 해당 부분을 보면 url과 domain, ip에 컨택이 될 것 같습니다. 이후에 string에서 문자열로도 확인이 가능하겠지만,url주소와 domain, ip주소도 미리보기가 가능합니다. ip주소들은 미국에 위치한 주소들임을 알 수 있었습니다. 2. 패킹이나 난독화의 흔적이 있는가? 그 이유는? PEiD를 통해 확인해보겠습니다. 패킹은 위에서 확인한 바와같이 FSG패커로.. 기초 정적 분석, lab01-01.exe, lab01-01.dll 분석하기 2020/04/16 - [study/Malicious code basic, Reversing] - 기초 정적 분석에 필요한 도구 기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지만 악성코드를 직접 실행하면 피해가 올 수 있으니, 실행하지 않고 분석하는 과정인 정적분석의 기본을 알아보고자 합니다.. hxxyxxn-1238.tistory.com 앞 포스팅을 보고오시면 더 이해하기 쉽습니다. 1. virustotal에 업로드 후 보고서 확인하기/ 기존 안티바이러스 정의된 것과 일치하는가? 이전 포스팅에 한번 진행된 부분이라 생략하겠습니다. 2. 이 파일의 컴파일 시점? - PEviewer이용 exe파일의 컴파일 시간은 2010/12/19 16:.. 기초 정적 분석에 필요한 도구 악성코드의 기능을 파악하기 위해서 코드나 프로그램의 구조를 분석해보아야 합니다. 하지만 악성코드를 직접 실행하면 피해가 올 수 있으니, 실행하지 않고 분석하는 과정인 정적분석의 기본을 알아보고자 합니다. 주요 사용 기법은 다음과 같습니다. 1. 악성 여부를 판단하는 안티 바이러스 도구 2. 악성코드를 판별하는 해시 정보 검증 3. 파일의 문자열, 함수, 헤더에서 주요 정보 수집. 1. 안티바이러스 스캐닝 악성코드 실행 및 탐지에 사용할 수 있는 사이트가 있습니다. https://www.virustotal.com/gui/home VirusTotal www.virustotal.com 해당 사이트는 구글이 인수하여 운영되고 있습니다. 때문에 UI도 보기 편하고 간단하게 업데이트 되고 있습니다. 악성코드 예제 .. 이전 1 다음
