[2024.09.26]
> 분석 파일: Lab01-04.exe
01. 자동화 분석
1) 분석 도구: virustotal.com
2) 분석 결과: 64/73(V3, AlYac 모두 탐지)
02. 패킹 여부 확인
1) 분석 도구: PEiD, exeinfope
2) 분석 결과: 패킹되어 있지 않음
03. 임포트된 함수를 보고 악성코드의 악성 행위를 알아낼 수 있는가?
만약 있다면 어떤 임포트 함수인가?
<Kernel32.dll>
<ADVAPI32.dll>
<msvcrt.dll>
04. 이 악성코드는 언제 컴파일 되었는가?
1) 분석 도구: PEView
2) 분석 결과: 2019/09/30 22:26:59
PEView를 통해 확인 시 2019/09/30 22:26:59 해당 일시에 컴파일 되어 있는 것을 확인했다
upx를 통해 해당 파일의 패킹을 진행한다
*-o : 다른 이름으로 파일을 저장할 때 사용하는 옵션
언패킹 상태의 파일과 패킹 진행 후의 파일을 확인 시 코드 영역이 다른 것을 볼 수 있다
파일의 리소스를 확인 시에도 언패킹 파일과 패킹 파일의 차이점이 명확하게 드러난다
*패킹한 것을 unpack으로 잘못 입력하여 pack으로 파일명을 다시 수정했다
pestudio로 확인했을 때 imports에 x 표시 되어 있는 것이 악성 코드라고 생각하면 된다
peid로 확인 시에도 UPX1으로 패킹이 되어 있는 것을 확인할 수 있다
D/W를 통해 함수를 확인할 수도 있었다
KERNEL32.DLL과 각종 여러 함수를 확인할 수 있다
현재 알 수 있는 것은 해당 경로에 해당 파일들이 존재한다는 것을 알아냈다
ollydbg로 strings를 확인했을 때 \system32\wupdmgr.exe
해당 경로의 파일을 찾아낼 수 있었다
그 외에도 함수들을 찾아보면서 어떤 함수인지에 대해서 알아봤다
'악성코드 분석' 카테고리의 다른 글
| 악성코드 분석 12 (1) | 2024.09.30 |
|---|---|
| 악성코드 분석 11 (0) | 2024.09.30 |
| 악성코드 분석 9 (1) | 2024.09.30 |
| 악성코드 분석 8 (0) | 2024.09.30 |
| 악성코드 분석 7 (0) | 2024.09.30 |
