악성코드 분석 20

[2024.10.11]

 

[정적 분석]

> 분석 파일: Lab06-04.exe

 

01. 자동화 분석

 

> 분석 도구: virustotal.com

> 분석 결과: 49/71(AlYac 탐지, V3 탐지 못 함)

 

 

 

02. 패킹 여부 확인

 

> 분석 도구: PEiD, exeinfope

> 분석 결과: 패킹되어 있지 않음

 

 

 

03. PE 구조 확인

 

> 분석 도구: PEView, pestudio

> 분석 결과

 

 

PEView를 통해 함수를 확인할 수 있었고,

패킹되어 있지 않기 때문에 헤더가 두 개 이상인 것을 확인했다

 

 

pestudio에서도 라이브러리와 임포트 값을 확인했고

 

 

스트링의 경우 Lab06-03.exe 파일과 다를 점은 없어 보이는 것까지 확인했다 

 

 

04. 문자열 분석

 

> 분석 도구: strings, ollydbg

> 분석 결과

 

 

현재 문자열 분석 시에도 Lab06-03.exe 파일과 다른 점이 없었다

 

 

ollydbg로 스트링 확인 시에도 스트링 실행 시 확인한 문자열과 비슷한 값이 나온다

 

 

IDA Pro에서는 401000에서 1의 값을 불러오고,

[ebp+var_4], eax에서 eax 값은 1이 된다

그렇게 되면서 1과 0을 비교했을 때 0이 되기 때문에 401248로 점프하게 된다

 

 

401248 라인을 선택했을 때 InternetGetConnectedState가 나온다

 

 

12의 값을 빼는 것을 알 수 있고

 

 

화면에 나온 부분이 중요하다는 것을 알 수 있다

 

 

현재 분석한 결과 var_C의 경우 1이라는 값이 나오고,

아래의 cmp [ebp+var_C] 값이 5A0h보다 크면 점프하지 않고 바로 종료된다 

 

 

ollydbg로 확인 시에도 eax에 1이라는 값이 입력된다

 

 

해당 부분에서도 브레이크 포인트를 걸고

 

 

천천히 내려가다 보면 sleep이 나타난다

sleep이 나오기 바로 위를 보면 EA60이라는 헥사 값이 확인된다

EA60은 60,000으로 60초 동안 기다렸다가 종료된다고 볼 수 있다

 

 

 

강의 소감

오늘도 Lab06-03.exe 파일에 이어 04 파일로도 분석을 진행했다

해당 파일의 경우도 03과 다른 점은 발견하지 못하였고 비슷했다

같은 번호대의 파일들은 다 비슷비슷하게 진행되는 것 같다