키로거
-
실전 악성코드와 멀웨어 분석(Practical Malware Analysis) [실습 3-3]IT/악성코드 분석 공부 2018. 3. 13. 09:00
본 포스팅은"실전 악성코드와 멀웨어 분석(Practical Malware Analysis) 책의 실습 부분을공부하고 작성한 풀이 및 보고서 입니다. 그림 1 실습 3-3 질문 악성코드를 실행하자 Lab03-03.exe 프로세스가 생성되고 svchost.exe 자식 프로세스가 생성된다. 그 후 Lab03-03.exe 프로세스가 사라지고 자식 프로세스로 생성되었던 svchost.exe만 고아 프로세스로 남게 된다. 그림 2 Lab03-03.exe 고아 프로세스 고아 프로세스인 svchost.exe의 Strings를 본다. 디스크 이미지와 메모리 이미지의 값이 다른 것을 볼 수 있다. 메모리에는 practicalmalwareanalysis.log와 [ENTER], [TAB] 같은 문자열이 존재한다. 다음과 같..