[2024.09.27]
> 분석 파일: Lab01-04.exe
401530 <-- Main
401506 <-- Break Point
> 12fd28 <-- Windows 디렉터리 저장
> 12eaf4 <-- c:
> 12fe3c
4030f4
처음으로 IDA를 통해 분석 후 메인 함수의 시작 부분을 알아냈다
401506 부분에 브레이크 포인트를 걸고 실행한다
천천히 내려가다 보면 코드들이 실행되면서 경로가 지정된다
화면에 보이는 부분과 같이 12eaf4에 경로가 저장되어 있다고 보여진다
그렇기 때문에 해당 부분으로 이동하고
확인해 보면 C:\WINDOWS\system32\wupdmgr.exe 파일이 존재하는 것을 알 수 있다
해당 경로로 들어가서 확인 시 실제로 wupdmgr.exe 파일이 존재한다
파일 존재 여부 확인 후 다시 ollydbg를 쭉 실행하여
12fe3c 부분에도 winup.exe 파일이 존재하는 것을 알아냈다
실제 해당 경로로 이동 시에 winup.exe 파일이 존재하는 것을 알 수 있었다
파일 여부를 확인하고 끝까지 실행하게 되면 해당 화면과 같이 페이지가 나타난다
원래라면 악성 코드라고 알려 주는 창과 함께 떠야 하지만 나타나지 않고 현재의 화면만 보인다
마지막으로 같은 파일임을 확인하기 위해 HashCalc로 기존의 Lab01-04.exe 파일과
ollydbg에서 알아낸 wupdmgr.exe 파일을 비교 분석 시
해시 값이 같은 것을 보아 복사가 된 것을 알 수 있다
강의 소감
오늘은 악성 코드 분석과는 별개로 코드 안에서 실행되는 경로에
실제 파일이 복사되어 있는지 이동되어 있는지의 여부를 확인했다
확인 후 그 파일이 악성 코드이며 같은 해시 값을 가졌는지까지 확인 후 강의가 마무리되었다
'악성코드 분석' 카테고리의 다른 글
| 악성코드 분석 13 (0) | 2024.10.01 |
|---|---|
| 악성코드 분석 12 (1) | 2024.09.30 |
| 악성코드 분석 10 (0) | 2024.09.30 |
| 악성코드 분석 9 (1) | 2024.09.30 |
| 악성코드 분석 8 (0) | 2024.09.30 |
