본문 바로가기

악성코드 분석21

악성코드 분석 21 [2024.10.14] [정적 분석]> 분석 파일: Lab07-01.exe  Lab03-01.exe의 경우 패킹 파일이며  Lab07-01.exe는 03-01.exe 파일의 언패킹 파일이다  01. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  두 개의 파일 비교 시패킹 파일과 언패킹 파일은 보기에도 확연하게 차이가 나는 것을 볼 수 있다패킹 파일의 경우 헤더가 두 개고, 언패킹 파일의 경우에는 세 개다또한, PE 구조 확인 시에도 보여지는 것부터 차이가 난다    pestudio로 확인했을 때도 virustotal로 분석되는 갯수부터 다른 것을 확인했다   02. 문자열 분석 > 분석 도구: strings, ollydbg> 분석 결과  문자열 확인 시에도 03-01 파일과.. 2024. 10. 15.
악성코드 분석 20 [2024.10.11] [정적 분석]> 분석 파일: Lab06-04.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 49/71(AlYac 탐지, V3 탐지 못 함)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  PEView를 통해 함수를 확인할 수 있었고,패킹되어 있지 않기 때문에 헤더가 두 개 이상인 것을 확인했다  pestudio에서도 라이브러리와 임포트 값을 확인했고  스트링의 경우 Lab06-03.exe 파일과 다를 점은 없어 보이는 것까지 확인했다   04. 문자열 분석 > 분석 도구: strings, ollydbg.. 2024. 10. 15.
악성코드 분석 19 [2024.10.14] [정적 분석]> 분석 파일: Lab06-03.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 45/73(V3: 탐지, AlYac: 미탐지)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  서비스 관련한 함수가 나왔다나머지는 Lab06-02.exe 파일과 비슷하다  스트링을 확인했을 때 3번대의 새로운 에러를 발견할 수 있었다또한, 아래로 보이는 바와 같이 Temp 디렉터리도 연관되어 있는 것을 알 수 있다  03. 문자열 분석 > 분석 도구: strings, ollydbg> 분석 결과  pestudio에.. 2024. 10. 14.
악성코드 분석 18 [2024.10.10] [정적 분석]> 분석 파일: Lab06-02.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 38/73(V3, AlYac 탐지 못 함)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  인터넷 시그니처들이 새롭게 많이 나온 걸 볼 수 있다InternetOpenUrlA는 url을 연다는 뜻이고, ReadFile의 경우 그 url을 읽는다는 뜻이다GetConnectedState는 url 접속을 위한 네트워크 연결을 확인하는 것으로 추측된다CloseHandle의 경우 이 함수를 실행해야만 아래의 함수들이 실행된.. 2024. 10. 10.
악성코드 분석 17 [2024.10.08] [정적 분석]> 분석 파일: Lab06-01.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 모든 엔진에서 탐지하지 못함(정상적인 프로그램)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과   WriteFile은 파일을 열어서 사용했다는 뜻이고,WINNET.DLL의 InternetGetConnectedState는인터넷의 연결 상태를 검색해 본 것이다  네트워크와 관련된 악성 코드라는 것을 알려 주듯이pestudio의 라이브러리를 확인 시 WINNET.DLL이 존재한다  04. 문자열 분석 > 분석 도구: .. 2024. 10. 8.
악성코드 분석 16 [2024.10.05 / 2024.10.07] [정적 분석]> 분석 파일: Lab05-01.dll 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과> 64/75 AhnLab-V3(Backdoor:Win32/Idicaf.9f3a5556) AlYac(Backdoor.XIW)   02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과   03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과  실행 파일이 아니기 때문에 별도의 테이블은 존재하지 않는다  pestudio의 라이브러리를 확인했을 때 PSAPI.DLL이 새로 생겼다 04. 관련 API  확인 > 분석 도구: D/W> 분석 결과   05. 문자열 분석 > 분석 도구: str.. 2024. 10. 8.

티스토리툴바