[2024.10.14]
[정적 분석]
> 분석 파일: Lab07-01.exe
Lab03-01.exe의 경우 패킹 파일이며
Lab07-01.exe는 03-01.exe 파일의 언패킹 파일이다
01. PE 구조 확인
> 분석 도구: PEView, pestudio
> 분석 결과
두 개의 파일 비교 시
패킹 파일과 언패킹 파일은 보기에도 확연하게 차이가 나는 것을 볼 수 있다
패킹 파일의 경우 헤더가 두 개고, 언패킹 파일의 경우에는 세 개다
또한, PE 구조 확인 시에도 보여지는 것부터 차이가 난다
pestudio로 확인했을 때도 virustotal로 분석되는 갯수부터 다른 것을 확인했다
02. 문자열 분석
> 분석 도구: strings, ollydbg
> 분석 결과
문자열 확인 시에도 03-01 파일과 07-01 파일은 문자열의 갯수부터 다르다
IDA로 07-01 파일의 전체적인 걸 확인했을 때 다른 점은 없었다
하나의 함수가 있었기 때문에 해당 함수를 누르게 되면
이렇게 무수히 많은 함수들이 몰려 있는 것을 확인할 수 있었다
IDA에서는 메인 함수 시작 지점을 확인하는 것을 마지막으로
ollydbg로 넘어가서 확인했다
확인했을 때 서비스를 생성하는 함수가 나오는 것을 확인했다
그렇기 때문에 서비스 창으로 가서 확인 시 실제로 Malservice라는 시스템이 생성되어 있었다
강의 소감
오늘은 마지막으로 Lab03-01.exe의 패킹 파일과
Lab07-01.exe 파일의 비교 분석을 시도했다
확실히 패킹 파일과 언패킹 파일에는 눈에 보이는 차이가 있다
그렇기 때문에 분석하기 수월했고, 언패킹 파일에서 더 많은 정보를 얻을 수 있었다
이번 시간이 악성 코드 분석의 마지막 시간이었다
지금까지 배운 내용을 토대로 조금은 분석에 한 발짝 더 가까워졌으면 좋겠다고 생각했다
더 익숙해지기 위해서 더 많은 노력을 해야 될 것 같다
'악성코드 분석' 카테고리의 다른 글
| 악성코드 분석 20 (0) | 2024.10.15 |
|---|---|
| 악성코드 분석 19 (0) | 2024.10.14 |
| 악성코드 분석 18 (0) | 2024.10.10 |
| 악성코드 분석 17 (1) | 2024.10.08 |
| 악성코드 분석 16 (6) | 2024.10.08 |
