-
실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-3]IT/악성코드 분석 공부 2018. 3. 13. 09:00
본 포스팅은
"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을
공부하고 작성한 풀이 및 보고서 입니다.
그림 1 실습 3-3 질문
악성코드를 실행하자 Lab03-03.exe 프로세스가 생성되고 svchost.exe 자식 프로세스가 생성된다. 그 후 Lab03-03.exe 프로세스가 사라지고 자식 프로세스로 생성되었던 svchost.exe만 고아 프로세스로 남게 된다.
그림 2 Lab03-03.exe 고아 프로세스
고아 프로세스인 svchost.exe의 Strings를 본다. 디스크 이미지와 메모리 이미지의 값이 다른 것을 볼 수 있다. 메모리에는 practicalmalwareanalysis.log와 [ENTER], [TAB] 같은 문자열이 존재한다. 다음과 같은 문자열이 존재한다는 것은 키로거일 가능성이 높다.
그림 3 Lab03-03.exe 고아 프로세스 문자열 비교
실제로 키로거 역할을 수행하는지 확인하기 위해 메모장을 열고 타이핑을 해본다. 그러자 log 파일이 생성되었으며 타이핑한 내용들이 적혀 있다.
그림 4 Lab03-03.exe log 파일
즉, 이 악성코드는 svchost.exe로 가장한 키로거이다.
'IT > 악성코드 분석 공부' 카테고리의 다른 글
실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-4] (2) 2018.03.14 실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-2] (0) 2018.03.12 실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-1] (0) 2018.03.11 실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 1-4] (0) 2018.03.10 실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 1-3] (0) 2018.03.09 댓글