악성코드 분석21 악성코드 분석 15 [2024.10.04] [정적 분석]> 분석 파일: Lab03-04.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 59/73(V3, AlYac 탐지) 02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음 03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과 시그니처와 파일 헤더 부분의 시간까지패킹되어 있지 않은 기존 파일 그대로 나오는 것을 확인할 수 있다 PE 구조의 섹션 데이터를 통해 하나씩 찾는 방법도 가능하지만,그 외에도 사용할 수 있는 프로그램들이 많기 때문에 이 방법은 참고하면 된다 네트워크로 진행하고 등록 및 업로드를 하게 되면화면에 나온 shell32.dll.. 2024. 10. 4. 악성코드 분석 14 [2024.10.02] [정적 분석]> 분석 파일: Lab03-03.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 62/73(V3, AlYac 모두 탐지) 02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분서 결과: 패킹되어 있지 않음 03. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과 현재 메모리 쪽에서 악성코드가 있는 것을 확인했다 pestudio를 통해 스트링을 확인할 수도 있었다 직접 스트링을 실행하여 텍스트 문서로 함수와 문자열을 확인하여 흐름을 파악해 봤다 ollydbg에서도 앞서 확인한 내용과 똑같이 함수와 스트링을 확인할 수 있었다 process exeplorer를 이용하여 Lab0.. 2024. 10. 2. 악성코드 분석 13 [2024.10.01] [정적 분석]> 분석 파일: Lab03-02.dll 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 62/72(V3 탐지, AlYac 탐지 못 함) 02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹되어 있지 않음 03. PE 구조 > 분석 도구: PEView, pestudio> 분석 결과 PEView로 확인 시 시그니처와 파일 헤더도 정상적으로 나오는 것을 볼 수 있다 테이블을 확인해 보면 각종 함수와 네트워크 시그니처가 확인된다 OpenServiceA: 서비스 제어 관리자 데이터베이스에 대한 핸들입니다. pestudio에서도 PEView로 확인했던 라이브러리까지 확인된다 스트링으로 봤을 때에도.. 2024. 10. 1. 악성코드 분석 12 [2024.09.30] [기초 정적 분석]> 분석 파일: Lab03-01.exe 01. 자동화 분석 > 분석 도구: virustotal.com> 분석 결과: 68/73(V3, AlYac 모두 탐지) virustotal로 악성코드 탐지도 가능하지만 디테일로 해시 값과 파일 크기 등도 확인할 수 있다 pestudio로 확인해 볼 때에도 virustotal에서 나온 부분과 동일하며,스트링과 임포트는 간략하게 나오는 걸 확인할 수 있었다 02. 패킹 여부 확인 > 분석 도구: PEiD, exeinfope> 분석 결과: 패킹/암호화 됨 패킹 여부를 확인하여 현재 패킹 및 암호화가 된 걸 확인했다 04. PE 구조 확인 > 분석 도구: PEView, pestudio> 분석 결과: kernel32.dll.. 2024. 9. 30. 악성코드 분석 11 [2024.09.27] > 분석 파일: Lab01-04.exe 401530 401506 > 12fd28 > 12eaf4 > 12fe3c 4030f4 처음으로 IDA를 통해 분석 후 메인 함수의 시작 부분을 알아냈다 401506 부분에 브레이크 포인트를 걸고 실행한다 천천히 내려가다 보면 코드들이 실행되면서 경로가 지정된다 화면에 보이는 부분과 같이 12eaf4에 경로가 저장되어 있다고 보여진다 그렇기 때문에 해당 부분으로 이동하고 확인해 보면 C:\WINDOWS\system32\wupdmgr.exe 파일이 존재하는 것을 알 수 있다 해당 경로로 들어가서 확인 시 실제로 wupdmgr.exe 파일이 존재한다 파일 존재 여부 확인 후 다시 ollydbg를 쭉 실행하여12fe3c 부.. 2024. 9. 30. 악성코드 분석 10 [2024.09.26] > 분석 파일: Lab01-04.exe 01. 자동화 분석 1) 분석 도구: virustotal.com2) 분석 결과: 64/73(V3, AlYac 모두 탐지) 02. 패킹 여부 확인 1) 분석 도구: PEiD, exeinfope2) 분석 결과: 패킹되어 있지 않음 03. 임포트된 함수를 보고 악성코드의 악성 행위를 알아낼 수 있는가?만약 있다면 어떤 임포트 함수인가? 04. 이 악성코드는 언제 컴파일 되었는가? 1) 분석 도구: PEView2) 분석 결과: 2019/09/30 22:26:59 PEView를 통해 확인 시 2019/09/30 22:26:59 해당 일시에 컴파일 되어 있는 것을 확인했다 upx를 통해 해당 파일의 패킹을 진행한다 *-o : 다른 .. 2024. 9. 30. 이전 1 2 3 4 다음