본문 바로가기

분류 전체보기153

악성코드 분석 12 [2024.09.30] [기초 정적 분석]> 분석 파일: Lab03-01.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 68/73(V3, AlYac 모두 탐지)   virustotal로 악성코드 탐지도 가능하지만 디테일로 해시 값과 파일 크기 등도 확인할 수 있다  pestudio로 확인해 볼 때에도 virustotal에서 나온 부분과 동일하며,스트링과 임포트는 간략하게 나오는 걸 확인할 수 있었다  02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹/암호화 됨   패킹 여부를 확인하여 현재 패킹 및 암호화가 된 걸 확인했다  04. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과: kernel32.dll.. 2024. 9. 30.
악성코드 분석 11 [2024.09.27] > 분석 파일: Lab01-04.exe 401530  401506   > 12fd28  > 12eaf4  > 12fe3c 4030f4   처음으로 IDA를 통해 분석 후 메인 함수의 시작 부분을 알아냈다  401506 부분에 브레이크 포인트를 걸고 실행한다  천천히 내려가다 보면 코드들이 실행되면서 경로가 지정된다  화면에 보이는 부분과 같이 12eaf4에 경로가 저장되어 있다고 보여진다   그렇기 때문에 해당 부분으로 이동하고  확인해 보면 C:\WINDOWS\system32\wupdmgr.exe 파일이 존재하는 것을 알 수 있다  해당 경로로 들어가서 확인 시 실제로 wupdmgr.exe 파일이 존재한다  파일 존재 여부 확인 후 다시 ollydbg를 쭉 실행하여12fe3c 부.. 2024. 9. 30.
악성코드 분석 10 [2024.09.26] > 분석 파일: Lab01-04.exe 01. 자동화 분석 1) 분석 도구: virustotal.com2) 분석 결과: 64/73(V3, AlYac 모두 탐지)    02. 패킹 여부 확인 1) 분석 도구: PEiD, exeinfope2) 분석 결과: 패킹되어 있지 않음   03. 임포트된 함수를 보고 악성코드의 악성 행위를 알아낼 수 있는가?만약 있다면 어떤 임포트 함수인가?     04. 이 악성코드는 언제 컴파일 되었는가? 1) 분석 도구: PEView2) 분석 결과: 2019/09/30 22:26:59   PEView를 통해 확인 시 2019/09/30 22:26:59 해당 일시에 컴파일 되어 있는 것을 확인했다  upx를 통해 해당 파일의 패킹을 진행한다 *-o : 다른 .. 2024. 9. 30.
악성코드 분석 9 [2024.09.25] > 분석 파일: Lab01-03.exe 01. 자동화 분석 1) 분석 도구: Virustotal.com2) 분석 결과: 66/73(V3, AlYac 모두 탐지)   02. 패킹 여부 확인 1) 분석 도구: PEiD, exeinfope2) 분석 결과: FSG 패커로 패킹됨  FSG 1.0이 나와 있기 때문에 패킹되어 있는 상태다  PEiD와 비슷한 구조로 현재 패킹되어 있는 것을 확인할 수 있다  03. PE 구조 확인 1) 분석 도구: PEView, PEStudio2) 분석 결과   현재 PE 구조를 살펴보면 섹션 수가 없는 것을 확인할 수 있다  또한, 이렇게 virustotal에서 확인한 바이러스와 imports, strings를 확인할 수 있다  04. 해시 값 계산 1) 분.. 2024. 9. 30.
악성코드 분석 8 [2024.09.24] [기초 정적 분석]> 분석 파일: Lab01-02.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 악성 코드로 확인됨(58/72), V3, AlYack 탐지    02. 이 악성코드가 패킹되거나 난독화 징후가 있는가?만약 있다면 어떤 도구로 패킹되었는가? > 분석 도구: PEiD, exeinfope> 분석 결과: UPX로 패커로 패킹됨   현재 UPX로 패커로 패킹되어 있는 것을 확인할 수 있다  PEView로 PE 구조를 살펴볼 때도 UPX로 패킹되어 있는 모습을 볼 수 있다 *패킹을 진행한다고 해도 오리지널 파일과 동일하게 언패킹이 되지 않을 수도 있다  마지막으로 pestudio로 확인했을 때에도 악성코드를 볼 수 있다하이픈(-)으로 나와 .. 2024. 9. 30.
악성코드 분석 7 [2024.09.23] [기초 정적 분석]> 분석 파일: Lab01-01.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 56/73(V3, AlYac Trojan)    => (실제 파일 분석 시에는 패킹 여부 확인을 먼저 해야 됨)02. 이 파일은 패킹이나 난독화가 되어 있는가?만약, 패킹되어 있다면 무엇으로 판단되는가? > 분석 도구: PEiD, Exeinfo> 분석 결과: 패킹되지 않음   03. 이 파일의 컴파일 날짜/시간은 언제인가? > 분석 도구: PEView> 분석 결과: 2010/12/19 16:16:00    => 패킹: upx.exe [파일명]=> 언패킹: upx.exe -d [파일명]  패킹을 다시 진행하기 위해 upx를 사용했다일반 압축만 하는 것.. 2024. 9. 30.

티스토리툴바