실전 악성코드와 멀웨어 분석
-
실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-4]IT/악성코드 분석 공부 2018. 3. 14. 09:00
본 포스팅은"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을공부하고 작성한 풀이 및 보고서 입니다. 그림 1 실습 3-4 질문 Lab03-04.exe 파일을 실행하자 프로그램이 즉시 삭제되었다. PEiD를 통해 살펴본 결과 패킹이나 난독화가 되어있지 않다. 문자열을 살펴본다. HTTP 통신을 하는 것으로 보이며 DOWNLOAD, UPLOAD와 같은 문자열이 보인다. 또한 cmd.exe가 보이고 --c, --re, --in 문자열이 보인다. 이는 명령어의 옵션들처럼 보인다. 그 밖의 기초 분석으로는 더 이상의 결과가 나오지 않는다. 그림 2 Lab03-04.exe 문자열
-
실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-3]IT/악성코드 분석 공부 2018. 3. 13. 09:00
본 포스팅은"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을공부하고 작성한 풀이 및 보고서 입니다. 그림 1 실습 3-3 질문 악성코드를 실행하자 Lab03-03.exe 프로세스가 생성되고 svchost.exe 자식 프로세스가 생성된다. 그 후 Lab03-03.exe 프로세스가 사라지고 자식 프로세스로 생성되었던 svchost.exe만 고아 프로세스로 남게 된다. 그림 2 Lab03-03.exe 고아 프로세스 고아 프로세스인 svchost.exe의 Strings를 본다. 디스크 이미지와 메모리 이미지의 값이 다른 것을 볼 수 있다. 메모리에는 practicalmalwareanalysis.log와 [ENTER], [TAB] 같은 문자열이 존재한다. 다음과 같..
-
실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-2]IT/악성코드 분석 공부 2018. 3. 12. 09:00
본 포스팅은"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을공부하고 작성한 풀이 및 보고서 입니다. 그림 1 실습 3-2 질문 실습 3-2에서 분석할 파일은 EXE 파일이 아닌 DLL 파일이다. 윈도우는 DLL의 자동 실행 방법을 알지 못한다. 먼저 Lab03-02.dll 파일의 익스포트 함수에 대해서 알아본다. 아래 그림 2는 Lab03-02.dll 파일의 익스포트 함수이다. 익스포트 함수는 다른 프로그램이나 라이브러리가 호출할 수 있는 파일 내의 함수이다. 즉, installA 함수를 통해서 악성코드를 설치하고 uninstallA 함수를 통해서 악성코드를 제거하는 것이 가능하다. 그림 2 Lab03-02.dll 익스포트 함수 아래 그림 3은 Lab03-..